本章知识点不是很重要,涉及到的漏洞也不是常见的,所以没有过多的阐述。
配套资源(百度网盘)
链接:https://pan.baidu.com/s/1xTp14wE-mqEr7EHU9nSCrg?pwd=nlsg
提取码:nlsg
MXSS突变型XSS漏洞
MXSS参考链接:https://www.fooying.com/the-art-of-xss-1-introduction/
UXSS-Edge&CVE-2021-34506
UXSS 全称 Universal Cross-Site Scripting
UXSS 是利用浏览器或者浏览器扩展漏洞来制造产生 XSS 并执行代码的一种攻击类型。
MICROSOFT EDGE uXSS CVE-2021-34506
Edge 浏览器翻译功能导致 JS 语句被调用执行
效果视频:https://www.bilibili.com/video/BV1fX4y1c7rX
Flashxss-swf 引用 js 的 xss
JPEXS Free Flash Decompiler
phpwind SWF 反编译 Flashxss
ExternalInterface.call 执行 JS 代码
Payload :
/res/js/dev/util_libs/jPlayer/Jplayer.swf?jQuery=alert(1))}catch(
e){}//
PDFXSS-上传后直链触发
1 、创建 PDF ,加入动作 JS
2 、通过文件上传获取直链
3 、直链地址访问后被触发