Kali Linux-网络安全之-XSS 跨站脚本攻击原理及 DVWA 靶机的搭建_kali实验xss攻击(2)

最新推荐文章于 2024-06-01 16:36:53 发布
最新推荐文章于 2024-06-01 16:36:53 发布
阅读量735 收藏 26
点赞数 9
分类专栏: 程序员 文章标签: linux web安全 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79054215/article/details/138227888
版权
本文介绍了如何在Kali Linux环境中搭建DVWA靶机,以学习XSS跨站脚本攻击。讲解了JavaScript修改Cookie的方法,探讨了反射型、存储型和DOM型XSS的原理,并提供了实验步骤。通过DVWA设置安全级别为LOW,便于初学者实践。
摘要由CSDN通过智能技术生成 
var x = document.cookie;

注:document.cookie 将以字符串的方式返回所有的 cookie,类型格式: cookie1=value; cookie2=value; cookie3=value;

使用 JavaScript 修改 Cookie

在 JavaScript 中,修改 cookie 类似于创建 cookie,如下所示:

document.cookie="username=John Smith; expires=Thu, 18 Dec 2043 12:00:00 GMT;
path=/";

旧的 cookie 将被覆盖。

Cookie 字符串

document.cookie 属性看起来像一个普通的文本字符串,其实它丌是。

即使您在 document.cookie 中写入一个完整的 cookie 字符串, 当您重新读叏该 cookie 信息时, cookie 信息是以键值对的形式展示的。

如果您设置了新的 cookie,旧的 cookie 丌会被覆盖。 新 cookie 将添加到 document.cookie 中,所以如果您重新读叏 document.cookie,您将获得如下所示的数据:

cookie1=value; cookie2=value;
JavaScript Cookie 实例

实验描述: 在以下实例中,我们将创建 cookie 来存储访问者名称。 首先,访问者访问 web 页面, 他将被要求填写自己的名字。该名字会存储在 cookie 中。 访问者下一次访问页面时,他会看到一个欢迎的消息。

使用 chrome 浏览器打开这个链接:www.runoob.com/js/js-cooki… 点击文档最后的尝试一下: 在这里插入图片描述 观看输入用户名 mk 后的效果。

XSS 跨站脚本攻击原理及 DVWA 靶机的搭建

学习环境搭建

实验环境:恢复到之前搭建好 sqli-libs 的快照环境。 在这里插入图片描述

基于之前搭建好的 LAMP 环境,来安装 DVWA。

1、上传 DVWA 到 xuegod63 主机

[root@xuegod63 ~]# rz

在这里插入图片描述

  1. 将下载的 dvwa 渗透系统代码上传到 Linux 上,并解压到网站根目录下
[root@xuegod63 ~]# unzip -d /var/www/html/ DVWA-master.zip
[root@xuegod63 ~]# ls /var/www/html/
DVWA-master sqli-labs

修改文件权限

[root@xuegod63 ~]# chown apache:apache /var/www/html/DVWA-m
最低0.47元/天 解锁文章
2301_79054215
关注
  • 9
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kali Linux-网络安全之-XSS 跨站脚本攻击原理DVWA 靶机搭建
xueshenlaila的博客
12-31 1361
XSS 跨站脚本攻击 使用 JavaScript 创建 Cookie JavaScript 可以使用 document.cookie 属性来创建 、读叏、及删除 cookie。 例 1:JavaScript 中,创建 cookie 如下所示: document.cookie=“username=John Doe”; 例 2:你还可以为 cookie 添加一个过期时间(以 UTC 戒 GMT 时间)。默认情况下,cookie 在 浏览器关闭时删除: document.cookie=“username=John
2024年网络安全山东省赛-SMB信息收集解析(中职组)_使用访问工具对服务器服务访问,将服务器中管理员桌面的文本文档里的内容作为 flag
2401_84252281的博客
04-26 910
任务环境说明:服务器场景:Server1。
linux-kali利用BeEF 执行 XSS 攻击
LCH14777475118的博客
06-26 320
文件,在文件里面找到这两串代码。软件(下载最新版的就可以),复制为一个副本,将副本修改为。安装目录中启动它(注意:新的。软件可以用来进行站点搭建。就勾上了靶机所在的浏览器了。,双击从记事本里面打开。,或者可以在配置文件。
白帽黑客与网安工程师教你Kali跨站脚本攻击,随便打开一个网站就可能被黑客控制!
Kali与编程
10-12 1051
一、课前声明: 1、本分享仅做学习交流,请自觉遵守法律法规! 2、搜索:Kali 与编程,学习更多网络攻防干货! 3、Kali 与编程每天准时更新,敬请学习和关注! 二、背景介绍 BeEF-XSS是一款非常强大的web框架攻击平台,集成了许多payload,可以实现许多功能!那么如何利用该利器进行渗透测试呢?接下来让我们一起学习! 三、战略安排 3.1 启动攻击Kali Linux主机的apache服务,如下图所示。 命令:services apache2 start 3.2 在攻击Kali 主机安
2020-11-22
qq_51370368的博客
11-24 390
实验XSS和SQL注入 实验目的:了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。 系统环境:Kali Linux 2、Windows Server 网络环境:交换网络结构 实验工具: Beef;AWVS(Acunetix Web Vulnarability Scanner);SqlMAP;DVWA 实验步骤: XSS部分:利用Beef劫持被攻击者客户
Kali Linux-网络安全之-XSS 跨站脚本攻击原理DVWA 靶机搭建_kali实验xss攻击(1)
2401_83947434的博客
04-17 692
root@xuegod63 ~]# vim /var/www/html/dom.html #创建一个加载了 javascript 脚本。改:815 allow_url_include = Off。为: allow_url_include = On。
DVWA靶机基于XSS跨站脚本攻击)的实验
CSFMSKK的博客
06-28 830
书说前言:本文针对DVWA靶机实验,仅供参考。如有雷同,实属他抄。如有用于不轨途径,与本人毫无瓜葛。 XSS是一种发生在前端浏览器的漏洞XSS某种意义上也是一种注入攻击攻击者在页面注入恶意代码,当受害者访问网站该页面时,恶意代码就会在浏览器上执行。 XSS共有3种:反射型、存储型、DOM型。 反射型: low级别:没有任何的过滤和检查,存在明显的XSS漏洞。 直接修改URL 然后执行 medium 对<script>做了黑名单限制 思路:抓包,利用双写和大小写混淆
kali LinuxDVWA靶场的搭建以及Sqli-labs注入
weixin_53652660的博客
04-02 8497
提示:在搭建过程中会出现很多不同的错误,每个人遇到的都不一定相同,有问题的友友可以私信我! 目录前言一、靶场简介1.了解DVWA2.了解Sqli-labs二、环境搭建1.DVWA安装与配置2.Sqli-labs注入环境的搭建总结 前言 今天我们要开始逐步实战了,我们都知道Kali Linux是一个渗透测试集成系统,在实战过程中靶场是我们必备的,接下来我们将在kali linux搭建DVWA靶场和Sqli-labs注入环境. 一、靶场简介 1.了解DVWA DVWA(Damn Vulnerable .
XSS另类攻击(四)kali系统beef-xss安装和使用
最新发布
06-01 960
本文介绍kali系统beef-xss安装、异常情况解决、使用示例说明。
kali渗透测试之Web渗透-XSS-漏洞利用-键盘记录器,xsser
hacker3062的博客
09-15 405
进行html编码,目前最有效的方法(并非完全不可绕过【不需要尖括号的情况:如】)】{可用burpsuite进行编码}-v:显示详细信息;–heuristic  探测服务器,检查被过滤的字符(会发送大量请求){脑洞:sql}  【所有过滤机制都是基于字符过滤】伪造诱人连接{如:限时抢购门票、手机等},转到存在xss漏洞的页面【主要危害为登录页面】,窃取用户登录账号密码。可使用图形化界面  xsser --gtk  【不建议使用,界面不够友好】:将对应页面和参数写进**-g**参数中;
kali 中安装 beef-xss
挖到0day了吗?
02-27 765
XSS攻击(Cross-Site Scripting)是指攻击者在网页中注入恶意脚本代码,使受害者在浏览器中运行该脚本,从而达到攻击目的。beef是一种利用浏览器漏洞攻击工具,可以在浏览器端运行恶意脚本。本文将介绍安装beef。新版的kail已经不自带beef工具了,需要自己下载。
kali渗透学习-Web渗透XSS(三)存储型XSS、DOM型XSS、神器BEFF
weixin_43239236的博客
01-23 255
存储型XSS 1、可长期存储于服务器端 2、每次用户访问都会被执行js脚本,攻击者只需侦听指定端口 #攻击利用方法大体等于反射型xss利用 ##多出现在留言板等位置 *推荐使用burpsuite a、观察返回结果,是否原封不动地返回输入数据?是否有其他标签 js代码通过留言板存储在服务器中,所以每次点击留言板链接,都会弹出xss弹窗 注入后会永久在服务器端,每次访问都会下发该注入。 用dvwa测试的时候消除注入需在设置中重置数据库 b、测试加载攻击者控制的服务器中的js文件 #启动apache2【默
kali linuxxss
weixin_30617695的博客
03-03 484
攻击web客户端 客户端脚本语言(弹窗,广告,在浏览器中执行,javascript) javascript--与java语言无关,使用最广的客户端脚本语言 xss(cross-site scripting) 通过web站点漏洞,向客户端交付恶意脚本代码,实现对客户端攻击目的 注入客户端脚本代码,盗取cookie,重定向 使用场景: 直接嵌入html:<script&...
kali-linux 搭建DVWA
qu_xiao_lei的博客
10-13 932
在主机下载DVWAhttp://www.dvwa.co.uk/并解压,重命名为dvwa后拖进虚拟机的桌面目录。(VMware Tools安装方法https://blog.csdn.net/u011585332/article/details/105120544?utm_source=app) ????第一:打开dvwa/dvwa/config,将config.inc.php.dist的后缀.dist去掉。 ????第二:打开config.inc.php 修改为: $_DVWA[ ‘db_user’ ] =
Kali Linux 配置DVWA
HK_Sky的博客
09-02 1358
一、准备材料 DVWA 压缩文件(一个PHP网站)    # 可以从官网下载该文件: http://www.dvwa.co.uk/ Apache2 服务器软件    # Kali 默认安装好了. MySql 数据库    # Kali 默认安装好了 root 用户密码为空. 二、开始操作 1.将DVWA-master网站放到合适的位置: # rm /var/www/html/* # un...
Kali linux里面安装dvwa
sr31275720281的博客
04-20 5230
Kali linux里面安装dvwa 学习网络安全,光学概念肯定是没有什么大用的,还是得学习一些实际操作的硬本事,搞安全有时候得意识强,但是不是什么环境都可以用来搞,选择合适的地点也很重要的。 DVWA (Dam Vulnerable Web Application)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序,包含了SQL注入、XSS、远程命令执行等...
Kali Linux之速会BEEF & XSS攻击
weixin_33767813的博客
05-25 964
beef 安装指南:https://github.com/beefproject/beef/wiki/Installation 升级ruby指南:https://www.cnblogs.com/waw/p/10921882.html 直接启动beef xss 账号和密码都是beef 在html里面插入这段代码 就可以...
Web安全实验:跨站攻击(XSS+CSRF)原理与实战
"本次实验主要关注的是Web安全中的两种重要攻击方式:跨站脚本攻击XSS)和跨站请求伪造(CSRF)。实验旨在让参与者深入理解这两种攻击原理,掌握不同级别的攻击实施,并了解相应的防御和修复措施。实验环境为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值