第36天网络安全实战:通用漏洞与各类 XSS(跨站、MXSS、UXSS、Flash XSS 和 PDF XSS)详解
最编程
2024-07-24 08:52:37
...
本章知识点不是很重要,涉及到的漏洞也不是常见的,所以没有过多的阐述。
配套资源(百度网盘)
链接:https://pan.baidu.com/s/1xTp14wE-mqEr7EHU9nSCrg?pwd=nlsg
提取码:nlsg
MXSS突变型XSS漏洞
MXSS参考链接:https://www.fooying.com/the-art-of-xss-1-introduction/
UXSS-Edge&CVE-2021-34506
UXSS 全称 Universal Cross-Site Scripting
UXSS
是利用浏览器或者浏览器扩展漏洞来制造产生
XSS
并执行代码的一种攻击类型。
MICROSOFT EDGE uXSS CVE-2021-34506
Edge
浏览器翻译功能导致
JS
语句被调用执行
效果视频:https://www.bilibili.com/video/BV1fX4y1c7rX
Flashxss-swf 引用 js 的 xss
JPEXS Free Flash Decompiler
phpwind SWF
反编译
Flashxss
ExternalInterface.call
执行
JS
代码
Payload
:
/res/js/dev/util_libs/jPlayer/Jplayer.swf?jQuery=alert(1))}catch(
e){}//
PDFXSS-上传后直链触发
1
、创建
PDF
,加入动作
JS
2
、通过文件上传获取直链
3
、直链地址访问后被触发