截取的是你的网站的
xss真正的原理是将代码插入到某个网页里面,当浏览器访问这个网页的时候,就会执行你写的代码。如果这个代码具有获取cookies的功能,即可获得当前页面的cookies
然而不同的网站cookies是不同的,也是不允许互相访问的。这就要求你必须把xss代码插入到当前页面里面,并且能成为目标页面中的一部分代码被浏览器执行,这样才能成功获取对方的cookies(这样子程序是在对方网站的页面里面执行的,当然截取的就是对方网站的cookies)。而不是写一个连接,让别人打开你的网页(这样子程序就是在你的页面里面执行的,当然没啥效果)
qq邮箱的xss越来越少了,要知道腾讯的技术人员不是白吃饭的。想要xss不一定非要对qq邮箱下手,如果能在别的分站里面找到xss不一样是照打不误么?qq的页面那么多何必困在qq邮箱里面呢~
a=t[e],i=a.target;n.push({b:a.match,a:/D/.test(i),c:/W/.test(i)})}return n}function o(){0m.length(m.forEach(function(t){d.forEach(function(n){t(n)})}),d=[])}var c,s,f,l=!!window.addEventListener,u=0,g=/^\s*javascript:(.*)/i,d=[],m=[],h={};return h.init=function(t){if(l!c){c=!0,f=r(t["len-limit"]),s=r(t["key-limit"]),alog("xss.create",{dv:5,postUrl:"",page:"tb-xss"}),t=0;for(var n in document)/^on./i.test(n)i(n,t++)}},h.watch=function(t){l(m.push(t),o())},h}(),xssfw.init({"len-limit":[{match:400,target:"Warn"}],"key-limit":[{match:/xss/,target:"Warn,Deny"},{match:/fromCharCode|eval|getScript/,target:"Warn"},{match:/alert\(\/|alert\(\d+|prompt/,target:"Warn"}]});/scriptlink rel="apple-touch-icon"
如果你确定你的密码安全,那这应该是XSS注入,你应该点击过别人发的链接,有些链接里被注入了js代码,能获取到你的sid,有了sid也就有了你空间的一切权限,然后自动发了说说,不过没关系的,这个sid隔一段时间会自动更换,你只要不再点别人发的链接就不会有这种情况了
1、针对性挂马 所以这类网站一定是游戏网站,银行网站或者是关于qq、taobao或者影响力相当大的网站等,它们必须有我们平常需要盗取的帐号密码;当然也或许是这个站点的浏览量相当高,我们能将更多的马挂出去。 而如果仅仅是平平常常的一个小站点的XSS漏洞,如果我们要挂马,那么莫不如就直接把木马页面地址贴出去。 2、用户权限下操作 这类网站则必须有会员了,而且这些会员有很多有意义的操作或者有我们需要的内部个人资料,所以我们可以通过XSS对已登录访问者进行有权限操作。我认为cookies的盗取应该算作这一项,因为其目的也是获取用户操作权限(盗密码包括在内),从而获取用户某些信息或者进行权限下的相关操作。 3、Dos攻击或傀儡机 这同样需要一个访问量非常大的站点,利用小站点莫不如我们自己攻击或获取信息。我们可以通过此页的访问用户不间断地攻击其他站点,或者进行局域网扫描等等。这类js工具早已经产生,js端口扫描、jikto、xssshell等等。 4、提权 一般这主要发生在论坛或信息管理系统,总之一定要有管理员了。这需要攻击者对目标系统相当熟悉(一般这样的系统需要开源代码),从而知道怎样构造语句进行提权。 5、实现特殊效果 譬如Monyer在百度空间的插入视频,插入版块;譬如一些人在新浪博客或者校内网实现的特殊效果等等。 结论: 从而你应该了解到这些网站应该具有的性质: 极高的访问量,有会员,有管理员,有具有价值的帐号密码,或者有意义进行特殊效果的实现。 如果你读过《Ajax Hacking with XSS》,你应该知道XSS至少包含input XSS和textarea XSS等七种方式。 其中url XSS属于input XSS,这些漏洞大部分属于保留式的XSS,而textarea XSS等一般属于不保留XSS。 这意味着正常访问一个页面是不会触发保留式的XSS的,尽管这是大部分网站具有的漏洞,其中搜索部分又称搜索式XSS漏洞。 所以当你获取了一个input XSS,你仅仅alert出一个小框框。你跟别人大吹大擂,你发现了一个漏洞,并且你可以alert一个框框给他看,但是事实上你什么都做不了。即使你能挂些小木马,那也是很没意义的事情——因为你莫不如直接在自己的虚拟主机里做XSS页面发给别人。 这个跟sql注入不同,XSS毕竟是客户端的东西。sql注入的目的往往是为了得到目标系统的权限,并且sql语句本身执行的就是服务端的指令;但 XSS一般却是为了获得客户端的东西,执行的也是客户端的指令。所以他们可以“'”一下“出错了”而大喊,你却不能因为“alert”出了“xss窗口” 而乱叫。
求采纳
最近网上流行的XSS是小学生的恶称,骂小学生的。
一是指某些人的想法、思维方式、对事物的认知和思考能力如孩子般幼稚、单纯、天真。
二是特指某类相对于同龄的人,在游戏竞技或者社交网络中, 态度傲慢、技术水准较差、拒绝与队友沟通、独断专行、忽视团队合作、甚至喜欢恶语相向的网游玩家。
三是指对没有接触过社会或社会经验不足。
扩展资料:
1、小学生技术菜,爱骂人,玻璃心(说他一句就挂机送人头,不管说什么,比如:中路的你不要再送了,然后他就说“我就送”,接着就开始了。)小学生的心思就像星空,摸不着猜不透。
2、大喷子(网络中对喜欢肆意谩骂、地域黑、招黑、互黑等网友的一种广泛性定义。),不分青红皂白就开喷。
3、说话不经过大脑考虑,以自我为中心,可能是在家被宠惯了。
4、没有接触过社会大家庭或接触社会经验不足。比如:参加工作,你要是不让新人上,永远都是新人。这也是小学生。
我来说两句