xss漏洞(二,xss靶场搭建以及简单利用)

已于 2024-08-16 21:18:49 修改
阅读量624 收藏 10
点赞数 4
分类专栏: xss漏洞 文章标签: xss 前端
于 2024-08-02 23:22:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_80280669/article/details/140847823
版权

本文仅作为学习参考使用,本文作者对任何使用本文进行渗透攻击破坏不负任何责任。

一,环境搭建。

使用工具:PHP study,dvwa靶场。

1,GitHub上下载dvwa到PHP study的WWW文件夹内,并解压。

dvwa下载地址

将解压后的文件夹放在phpstudy的WWW文件夹内。

此处直接将文件夹命名为了DVWA。

2,创建网站。

①,创建网站。

②,浏览,选择所解压在phpstudy的WWW文件夹内的dvwa文件夹。

③,更改端口,便于处于在同一WiFi环境内的其他设备链接,使用。

④,域名,此处为了便于分辨,直接写为DVWA。

⑤,点击确认,PHP study会立刻重启,稍后网站创建成功。

3,更改文件配置。

数据库用户为:root,密码为123456789。

打开dvwa文件夹内的DVWA\config\config.inc.php.dist,将其重命名为config.inc.php并双击打开。

将这两项更改为:

只要与数据库账密一致就可以。

将下列内容填充到红框的单引号内。

$_DVWA[ 'recaptcha_public_key' ]  = '6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg';
$_DVWA[ 'recaptcha_private_key' ] = '6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ';

打开网站。

点击此处,重置数据库。

跳转到此页面,说明重置成功。

此时用户名为 admin,密码为 password。

至此,靶场环境安装结束。

二,xss攻击。

1,靶场环境预设。

①,点击DVWA Security.

②,将安全的及设置为low。

③,点击保存。

2,前往靶场位置。

点击XSS (Reflected),反射性xss。

三,开始攻击。

1,测试漏洞存在。

<script>alert(document.cookie)</script>

这段代码的的作用是:弹窗输出cookie。

成功弹出,说明存在xss漏洞。

WEB常见漏洞XSS(靶场篇)
One-Fox安全团队的博客
06-30 2094
由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为承担任何责任,一旦造成后果请自行承担!
XSS漏洞-02】XSS靶场介绍(含BlueLotus_XSSReceiver、DVWA、XSS-labs等)
m0_64378913的博客
05-13 2539
1 XSS靶场简介 XSS-labs:一款以练习测试XSS思路和命令的闯关游戏,主要是以反射型XSS漏洞为主。 DVWA:一个功能较全的靶场环境,漏洞类型齐全,包含在XSS三种类型的漏洞,各有4个级别的破解难度。 BlueLotus_XSSReceiver:该源码是由清华大学蓝莲花战队的firesun编写,安装方便,功能强大。 2 DVWA靶场搭建过程 方法一:可以参考《Docker上搭建DVWA漏洞环境》。安装简单,但安装结果功能有所欠缺。 方法:可以参考《WAMP环境+DVWA漏洞测试平台搭建过程》。
xss漏洞(五,xss-labs靶场搭建简单讲解)
2302_80280669的博客
08-06 1544
本文基于github上的xss-labs靶场以及PHP study进行操作。
网络安全之XSS靶场
最新发布
huizhaohaha的博客
08-18 1021
可以看到,我们通过url传递参数,传递了两个,一个src =1,一个onerror,最后保留下来了onerror参数,那这是什么原理呢,我们可以根据这个进行猜测,那就是,在这个循环删除完第一个参数的时候,指针网第个参数走,但是由于,第一个参数没有数据了,我的传递的第个参数向前走了一步,也就是到达了第一个参数的位置,而现在指针指的位置为空了,删不删的无所谓了,那么依据我们的分析,我们传递的参数可以保留偶数的参数,奇数参数都将会被删除,那么我们可以试一试看看我们的猜测是否正确。
[ 靶场环境篇 ] XSS-labs 靶场环境搭建(特别详细)
热门推荐
qq_51577576的博客
12-10 1万+
想入门渗透行业呢光有理论基础是不够的,更重要的是实践经验。 接下来我会分享一些入门级靶场,从环境搭建一直到通关教程。 入门级靶场会分享:pikachu、DVWA、XSS-labs、sql-labs、upload-labs等内容。 上篇文章写到了 pikachu 靶场搭建,本文写 XSS-lab 靶场环境的搭建。 目录 一、环境准备 1 搭建环境 2 下载链接 、安装教程 1. 首先我们需要搭建好PHP study: 2. 下载 xss-labs 靶场源码 3.解压缩并放入如下..
XSS初级漏洞靶场
dragon的博客
03-01 1219
当用户访问被xss注入的网页,xss代码就会被提取出来。用户浏览器就会解析这段xss代码,也就是用户被攻击了。用户最简单的动作就是使用浏览器上网,并且浏览器中有js解释器,可以解析js,然而由于浏览器不具有人格,不会判断代码是否具有恶意行为,只要代码符合语法规则,浏览器就可以解析这段xss代码。简单来说,xss就是通过攻击者精心构造的js代码注入到网页中,并且浏览器解释运行了这段恶意的js代码,以达到恶意攻击浏览器的效果。xss的攻击对象是用户浏览器,属于被动攻击,因此xss攻击涉及到三个角色攻击者。
WEB安全渗透测试-pikachu&DVWA&sqli-labs&upload-labs&xss-labs靶场搭建(超详细)
m0_69583059的博客
01-23 3013
对于web安全刚入门的小伙伴来说,漏洞靶场搭建是很重要的,可以通过靶场学以致用,对所学知识点进行巩固练习。下面和我一起搭建5个比较常用的初学者入门靶场,演示搭建环境:win11系统+phpstudy。
XSS靶场搭建以及前十关详解
GN_QT的博客
07-31 439
aaa
在docker中搭建xss漏洞靶场
weixin_45571987的博客
10-14 2102
写在Xshell中安装镜像 在Xshell中安装镜像 启动VM的虚拟机,打开Xshell连接上虚拟机 如果有不懂的这是上次的地址,请单机我 看第段就有教程啦 # 安装docker-compose pip install docker-compose # 下载vulstudy项目 git clone https://github.com/c0ny1/vulstudy.git 跟着代码一段段复制粘贴回车就好啦 下图是红字是说python版本需要3.5以上,而本机的是2.7.5 黄字警告是说pip版本低,但
使用docker搭建XSS漏洞靶场
qq_45808536的博客
10-21 1582
在docker中搭建xss漏洞靶场 首先用Xshell连上自己的虚拟机 # 安装docker-compose pip install docker-compose # 下载vulstudy项目 如果失败了请往下看 git clone https://github.com/c0ny1/vulstudy.git 下图是红字是说python版本需要3.5以上,而本机的是2.7.5 黄字警告是说pip版本低,但是还可以用,不管它就是了 使用docker-compose部署容器 安装镜像(快速版) 因为GitH
xss漏洞靶场一到十关
weixin_52029251的博客
03-09 745
第一关: 先找注入点,但是页面没有注入的地方,之后查看元素,发现网址后的name可以修改,找到注入点后,将注入代码<script>alert(/xss/)</script>输入,即可完成。 第关 页面有一个搜索框可以进行代码注入,查看元素框,发现搜索后发现<input name="keyword" value=>后可以进行代码注入,之后将前面的代码进行闭合 之后输入注入代码<script>alert(/xxs/)</script&..
Pikachu靶场-xss详解
qq_53083285的博客
10-30 7796
Picachu靶场-xss跨站脚本漏洞概述跨站脚本漏洞类型及测试流程反射型XSS(post&get)存储型XSSDom型XSSxss-获取cookiexss-进行钓鱼xss-获取键盘记录xss盲打xss的过滤和绕过xss输出在href和js中的案例xss的防范措施 XSS-跨站脚本漏洞目录 跨站脚本漏洞概述 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 2.存储型XSS;
XSS靶场
weixin_53860392的博客
03-08 860
1.
自建靶场 XSS练习(一)
fanxiaoyao1的博客
03-01 990
自建靶场 XSS练习(一) 点击链接快速跳到指定关卡 文章目录自建靶场 XSS练习(一)靶场搭建一、第一关、第关三、第三关四、第四关五、第五关六、第六关七、第七关七、第八关九、第九关 靶场搭建 我用的是phpStudy,靶场代码可以去github上找,或者私信问我要 浏览器用的火狐,有hackbar插件,谁用谁知道 一、第一关 点击进入第一关 这关没啥难度,简单粗暴,后台也没有过滤。name=<script>alert(/xss/)</script>就过了,当然你想玩
XSS入门 XSS Challenges靶场搭建/前五关/基础教程
ChenD的学习笔记
10-11 1218
XSSChallenges 前五关,XSS注入点判断
XSS漏洞-pikachu靶场
qq_43936524的博客
10-10 401
文章目录XSS概括XSS分类pikachu题解反射型XSS(get)反射型XSS(post)储存型XSSDOM型xssDOM型xss-xxss盲打xss过滤xss之htmlspecialcharsxss之href输出xss之js输出XSS漏洞利用cookie的盗取和利用钓鱼攻击XSS获取键盘记录 XSS概括 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者向web页面插入恶意
保姆级 | XSS Platform环境搭建
尼泊罗河伯的博客
12-07 4384
XSS Platform 平台主要是用作验证跨站脚本攻击。该平台可以部署在本地或服务器环境中。我们可以使用 XSS Platfrom 平台搭建、学习或验证各种类型的 XSS 漏洞
Web安全:XSS || 文件上传 靶场搭建 (玩转整个 XSS || 文件上传 环境.)
网络安全领域___专研者.
04-24 1032
XSS又叫CSS(Cross Site Script)跨站脚本攻击,指的是攻击者在Web页面,插入恶意JS代码,当用户浏览该页之时,嵌入其中JS代码就会被执行,从而达到攻击的目的.(包含:收集用户的Cookie,添加账号,修改密码,提高用户权限等等.) 文件上传漏洞是指 Web 服务器允许用户将文件上传至其文件系统,但这些文件可能并没有经过充分的验证,如文件名称、类型、内容或大小等。未能正确执行这些限制就意味着即使最基本的图像上传功能也可能用于上传任意具有潜在危险的文件,里面甚至包括远程代码执行的服务器端脚
XSS漏洞 深度解析 XSS_labs靶场
diaobusi的博客
12-12 600
XSS原名为Cross-site Sciprting(跨站脚本攻击),因简写与层叠样式表(Cascading style sheets)重名,为了区分所以取名为XSS。这个漏洞主要存在于HTML页面中进行动态渲染输出的参数中,利用了脚本语言和HTML语言的特性,将恶意的JavaScript脚本注入进HTMl页面,这些脚本可以窃取用户信息、会话令牌、修改页面内容等,从而达到攻击目的。
xssgame靶场搭建
05-17
XSS Game是一个由Google提供的在线Web安全学习平台,旨在帮助开发人员学习和了解如何识别和利用Web应用程序中的跨站点脚本(XSS漏洞。它提供了一系列有趣且互动的挑战,以帮助用户了解XSS漏洞的工作原理,从而提高他们在Web应用程序安全方面的技能。 如果你想自己搭建XSS Game靶场,你需要做以下几步: 1. 下载XSS Game靶场代码 你可以在GitHub上下载XSS Game靶场的源代码:https://github.com/google/security-research-pocs/tree/master/web-platform/xss-game 2. 安装和配置Web服务器 你需要安装和配置Web服务器来托管XSS Game靶场。你可以选择Apache、Nginx等常见的Web服务器。 3. 将XSS Game靶场代码放到Web服务器目录下 将下载的XSS Game靶场代码放到Web服务器的根目录下,确保它们可以通过浏览器访问。 4. 配置数据库 XSS Game靶场使用数据库存储用户信息和挑战进度等信息。你需要安装和配置MySQL数据库,并将配置信息添加到XSS Game靶场代码中。 5. 启动Web服务器 启动Web服务器并打开浏览器,访问XSS Game靶场网址即可开始挑战。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值