http://www.andlabs.org/tools/jsrecon.html
을 방문했으며 을 사용하여 클라이언트 네트워크에서 port-scan
을 수행 할 수 있습니다. 나는 누군가이 웹 사이트에 xss
취약점을 포함시키지 않고 귀하의 네트워크를 스캔하고 있기 때문에이 기술에 대해 혼란스러워지고 있습니다. 그런 다음 cmd
을 사용하여 Trojan
또는 사용자 정의 가능한 .exe
을 클라이언트 측에 설치할 수없는 이유는 무엇입니까?포트 스캐너 포털은 어떻게 작동합니까?
내가 틀렸다고 정정하십시오.
이 웹 사이트가 명령을 실행하기 위해 브라우저에 명령하고있는 것은 사실이며 이것은 'XSS'(브라우저 제어)입니다. 이것을 할 수 있다면 왜 브라우저에 '미터기'연결을 지시 할 수 없습니까? –
metasploit을 파기 전에 보안/네트워크 기술에 대해 더 잘 이해해야합니다. XSS는 * 크로스 * 사이트 스크립팅입니다. 즉, 다른 웹 사이트 (또는 도메인)에서 오는 코드를 모르는 상태에서 * 실행하는 * 웹 사이트를 신뢰하는 경우입니다. andlabs.org를로드하고 ** JS 코드를 실행할 수있게 허용하면 Google, Facebook 및 좋아하는 뉴스 매거진을 신뢰하는 것처럼이 웹 사이트를 신뢰할 수 있습니다. bar.com에서 코드를로드하고 실행하면 foo.com을로드하면 XSS가됩니다. –