网络攻防实验-XSS攻击-基于Elgg-Task1-4

最新推荐文章于 2024-03-06 18:59:03 发布
VIP文章 最新推荐文章于 2024-03-06 18:59:03 发布
阅读量8.2k 收藏 14
点赞数 3
分类专栏: 信息安全 文章标签: 蠕虫 脚本 xss攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Code_Thinking/article/details/46391693
版权

                                                              网络攻防实验报告

                                                                                      ——XSS攻击

何为XSS攻击?

XSS即Cross-site scripting跨站脚本,它是一种经常在web应用中出现的漏洞,攻击者可以使用该漏洞注入一些恶意代码以实现对受害者的攻击。

一、实验环境

SEEDUbuntu12.04

VMware Workstation 10.0.1

Elgg web application

Firefox with LiveHTTPHeaders extension

二、实验一

Part-1

(一)实验步骤

1.开启apache服务器

sudo service apache2 start

 

2.访问Elgg并以alice身份登入

    

3.修改alice的profile并注入script

 

 

4.alice退出,samy身份登入并访问alice的profile

 

Part-2

实验内容:使用脚本文件而不是直接注入代码

1.配置DNS即修改/etc/hosts文件

 

2.配置Apache server,在/etc/apache2/site-available/default中添加如下代码:

 

3.在/www目录下添加Example目录并在此目录下添加如下文件:

 

4.访问www.example.com以测验是否可正常访问

 

5.访问Elgg,以samy身份登入并修改samy的profile,在Location中添加如下代码:

 

6.访问Elgg,以alice身份登入并访问samy的profile

 

最低0.47元/天 解锁文章
Code_Thinking
关注
  • 3
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
htmLawed:用于净化和过滤 HTML 的 PHP 代码-开源
05-31
htmLawed PHP 脚本使 HTML 更加安全且符合标准和政策。 可定制HTML过滤器/净化器可以平衡标签,确保正确的嵌套,中和XSS,限制HTML,美化Tidy等代码,实施反垃圾邮件措施等。
(SEED-LabCross-Site Scripting (XSS) Attack Lab跨站脚本攻击实验
lunan的博客
02-02 5175
(SEED-LabCross-Site Scripting (XSS) Attack Lab 跨站脚本攻击实验 欢迎大家访问我的GitHub博客 https://lunan0320.cn 文章目录一、实验目的二、实验步骤与结果2 Lab Environment2.1 The Elgg Web Application2.2 DNS Confifiguration2.3 Apache Confifiguration3 Lab Tasks3.1 Preparation: Getting Familiar w
网络攻防技术】实验七—— XSS攻击实验Elgg
qq_45755706的博客
03-01 7269
文章目录一、实验题目二、实验步骤及结果配置相关环境Task1: Posting a Malicious Message to Display an Alert WindowTask 2: Posting a Malicious Message to Display CookiesTask 3: Stealing Cookies from the Victim’s MachineTask 4: Becoming the Victim’s FriendTask 5: Modifying the Victim’s
Elgg: 构建社交网络的开源平台
最新发布
gitblog_00010的博客
03-06 344
Elgg: 构建社交网络的开源平台 Elgg是一个强大的开源平台,用于构建具有社交功能的网站和应用程序。它提供了一个灵活且可扩展的基础架构,使开发人员能够快速创建自定义的社交媒体应用、学习管理系统、企业内部网等。 项目概述 Elgg的设计目标是帮助开发者轻松地构建复杂的社交网络应用。该平台的核心特性包括: 用户管理:支持用户注册、登录、个人资料设置等功能。 社交互动:提供好友系统、动态发布、...
WordPress中自动激活插件的实现方法
09-29
上传安装wordpress插件肯定是要使用的,不然也不会费功夫去上传,而要使用的wordpress插件,在上传之后肯定是要先激活的,每次安装插件都要手动激活是不是觉得很麻烦
elgg安装笔记
luanshaofeng的程序人生
07-17 5355
http://www.elggchina.cn/ ,这是我建的一个社区希望大家 ,大家共同交流学习进步其实遇到的都是一些基本问题,关键是我第一次配置apache和用php所有会遇到lib报错问题,大概情况如下_elggadmin/lib.php on line 118_elggadmin/lib.php on line 237_elggadmin/lib.php on line 613_elgga
Cross-Site Scripting (XSS) Attack Lab (Web Application: Elgg)——山东大学网络攻防实验
我有一颗五角星
05-22 7176
跨站点脚本(XSS)是通常在Web应用程序中发现的一种计算机安全漏洞。此漏洞可使攻击者将恶意代码(例如JavaScript)插入受害者的Web浏览器。使用这种恶意代码,攻击者可以窃取受害者的凭据,如Cookie。可以通过利用XSS漏洞来绕过浏览器用于保护这些凭据的访问控制策略(即,同源策略)。这类漏洞已经被利用来制作强大的网络钓鱼攻击和浏览器攻击。 为了展示利用XSS漏洞攻击者可以做什么,我们在预制的Ubuntu VM映像中设置了名为Elgg的Web应用程序。Elgg是社交网络非常受欢迎的开源Web应用程序
Web安全之 XSS
weixin_57543652的博客
03-12 192
指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网站,携带木马等。HTTPS会在请求数据之前进行一次握手,使得客户端与服务端都有一个私钥,服务端用这个私钥加密,客户端用这个私钥解密,这样即使数据被人截取了,也是加密后的数据。这个其实就是wifi流量劫持,中间人可以看到用户的每一个请求,可以在页面嵌入恶意代码,使用恶意代码获取用户的信息,可以返回钓鱼页面。而数字之外的字符都过滤掉。
20222937 2022-2023-5 《网络攻防实践》实践十报告
qq_43560301的博客
05-17 174
通过本次实验,我学习到了Web应用程序安全的基本原理和方法。对数据库有了更深入的认识,同时对XSS攻击的原理有了较为清晰的理解。
基于SeedUbuntu20.04跨站脚本攻击(XSS)
shshuahw的博客
08-09 2280
XSS攻击和CSRF有类似的地方,但是他比CSRF更难防,也更常见。 CSRF是伪造一个跨站请求,他要先骗别人进入自己精心设计的网站,但是一个不被信任的第三方网站在跳转时,往往站点会贴心地提醒你有被攻击的风险。但是跨站脚本攻击不一样,它可以将代码插入一个被信任的网站的源代码中。 我们经常在逛一些奇怪的网站时发现网页中些弹窗和涩涩的广告,往往就是网站受到了攻击,网页代码中被植入攻击者的恶意代码。这种情况常见于一些被废弃的网站中,被废弃的网站由于缺乏维护,就容易受到攻击。 一.在Elgg里注入Javascrip
Web安全第三次实验(CSRF,XSS,点击劫持).rar
12-26
抱歉,xss那里修改了下,原来打算直接弹窗的,但上过课以后发现,可以使用ajax的同步发送获取到responseText,再从responseText中剪切出token,这样不会弹窗,并且使用了同步请求,不需要alert特地暂停等待操作完成。还有里面保存了修改后的myzoo文件。
findom-xss:一个基于DOM的快速XSS漏洞扫描程序,非常简单
04-22
FinDOM-XSS FinDOM-XSS是一种工具,可让您快速找到可能的和/或潜在的基于DOM的XSS漏洞。安装$ git clone https://github.com/dwisiswant0/findom-xss.git --recurse-submodules依赖项: 用法要在目标上运行该工具,...
anti-xss:AntiAntiXSS | 通过PHP防止跨站点脚本(XSS)
05-02
XSS使攻击者能够将客户端脚本注入到其他用户查看的网页中。跨站点脚本漏洞可能被攻击者用来绕过相同原产地策略之类的访问控制。截至2007年,在网站上进行的跨站点脚本编写约占Symantec记录的所有安全漏洞的84%。” ...
jQuery-with-XSS 检测jQuery版本是否存在XSS漏洞
09-29
动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS )有所区分,故称XSS)的威胁,而静态站点则完全不受...
xpt:XPT-XSS多色测试仪
01-31
XPT是XSS多语言测试平台,可在不到1分钟的时间内在30多个环境中测试XSS多语言。 该项目使用Google Chrome无头模式来测试XSS有效负载的执行情况。 在Debian上安装 # Install Google Chrome # ...
利用Express模拟web安全之---xss的攻与防
01-26
Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的, 还有另外一种...
Kali Linux 2.0中使用aircrack-ng破解安全性为WPA/WPA2 PSK的无线网络
热门推荐
Code_Thinking的专栏
01-26 3万+
这些天通过上网查看各类博客,资料,再加上动手操作,成功在Kali Linux 2.0上面破解了附近一个wifi的密码,下面对其大体步骤进行总结: 1.ifconfig -a   使用该命令查看本机的无线网卡 2.ifconfig  使用该命令查看本机已启动的无线网卡   可以发现wlan1,这一网卡并没有显示在上面.如果想使用它进行下面的破解密码操作,首先使用ifconfig
C语言编程实现使用AES对文件进行加密
Code_Thinking的专栏
05-25 1万+
#include #include #include #include int main(int argc,char* argv[]) {   if(argc      printf("Usage:./encrypt \n");      return 0;   } //  char* fname=*(argv+1); //读取文件内容   FILE* file=
vue cli4 使用 vue-xss
07-22
对于Vue CLI 4和Vue.js的项目,您可以使用vue-xss库来处理XSS(跨站脚本攻击)防御。 首先,您需要在项目中安装vue-xss: ```bash npm install xss ``` 然后,您可以在需要进行XSS防御的地方引入vue-xss,并创建一个XSS过滤器: ```javascript import xss from 'xss'; Vue.filter('xss', function(value) { return xss(value); }); ``` 接下来,在模板中使用该过滤器来对需要进行XSS防御的变量进行过滤: ```html <div>{{ content | xss }}</div> ``` 在上面的例子中,`content`变量会通过`xss`过滤器进行XSS防御。 请注意,vue-xss库提供了更多高级的配置选项,您可以根据需要进行自定义。详情可参考vue-xss的文档。 希望这可以帮助您在Vue CLI 4项目中使用vue-xss进行XSS防御。如有更多问题,请随时问我!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值