BeEF XSS利用框架客户端脚本浅析

BeEF是比较著名的一个XSS利用框架,它是交互界面友好、高度集成、开源、活跃度较高的一个项目。 在BT5中也集成了BeEF。跟国外其他渗透测试项目一样,它也可以和其他很多工具结合使用,如MSF。但是网上相关资料不太好找,于是前段时间自己看了一下BeEF的客户端JS脚本代码。 BeEF框架客户端脚本文件hook.js的主要结构如下: JS模块 功能分析 jquery jequry库 evercookie cookie僵尸,利用多处存放、相互依...

OAuth是一种简单开放的授权协议,使得第三方应用可以在用户授权的情况下获得accessToken,随后第三方应用用它访问用户的资料,而无需获得用户的账户密码。 目前国内大部分互联网公司提供的API都通过OAuth进行第三方应用授权。如:豆瓣、腾讯、新浪等。另外利用微博账号、SNS账号等的快速登录,可以使中小型网站轻松获得新用户,用户无需注册流程直接登录,提升用户登录率。 刚接触OAuth时,有点不靠谱的感觉,虽然说OAuth授权不用我们透露自己的账号,但是授权之后第三方应用不用我们的账号就可以直接读写我们的信息。而很多小应用往往会期望获得远远超过自身需要的权限,这种感觉就好像有点引...