xuptsec-wiki
  • 0. 介绍
  • 1. 基础
    • 1.1 科学上网
    • 1.2 Linux & Shell
    • 1.3 Apache+PHP+MySQL环境安装与配置
    • 1.4 Python环境安装与配置
    • 1.5 Git
    • 1.6 RSS订阅
    • 1.7 正则表达式
    • 1.8 数据结构
    • 1.9 其他资料
  • 2. 编程
    • 2.1 Python
    • 2.2 PHP
    • 2.3 SQL
    • 2.4 JavaScript
    • 2.5 Lisp
  • 3. Web安全
    • 3.1 SQL注入
    • 3.2 XSS
    • 3.3 CSRF
    • 3.4 SSRF
    • 3.5 XXE
    • 3.6 反序列化
    • 3.7 点击劫持
    • 3.8 PHP漏洞
    • 3.9 Python漏洞
    • 3.10 spring漏洞
    • 3.11 消息队列
    • 3.12 信息收集
    • 3.13 未授权访问
    • 3.14 GraphQL
    • 3.15 jsonp劫持
    • 3.16 工具使用
    • 3.17 Pentest&SRC
  • 4. 逆向工程
    • 4.1 入门指引
    • 4.2 破解
    • 4.3 DLL注入
    • 4.4 逆向工具
    • 4.1 练习
  • 5. 客户端安全
    • 5.1 基础
    • 5.2 android安全
    • 5.3 ios安全
    • 5.4 bbs-and-blog
  • 6. 区块链安全
  • 附录A 互联网开源项目索引
Powered by GitBook
On this page
  • UXSS(->BrowserSec)
  • XSS Exercise
  1. 3. Web安全

3.2 XSS

  • 仅用 +! 就足以实现几乎任意Javascript代码 http://www.cnblogs.com/pandora/archive/2010/02/27/1674833.html

  • 突破XSS字符数量限制执行任意JS代码 http://netsecurity.51cto.com/art/200905/122792.htm

  • Bypass XSS Cloudflare Filter on INDODAX.com https://medium.com/@denyfebriant/bypass-xss-filter-cloudflare-on-indodax-com-526fb32ffa08

UXSS(->BrowserSec)

Universal Cross-Site Scripting,通用跨站脚本攻击。

UXSS利用浏览器或者浏览器扩展漏洞来制造产生XSS的条件并执行代码。

UXSS对于攻击发起时浏览器打开或缓存的所有页面(即使不同域)的会话信息都可以进行访问。

  • 通用跨站脚本攻击(UXSS)

  • Chrome 扩展安全研究: 一个UXSS的挖掘经历

XSS Exercise

  • alert(1) to win https://alf.nu/alert1

  • prompt(1) to win http://prompt.ml/0

Previous3.1 SQL注入Next3.3 CSRF

Last updated 6 years ago