03-构建xss漏洞环境(1)

于 2024-05-16 01:46:43 发布
阅读量327 收藏 9
点赞数 4
分类专栏: 程序员 文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84968222/article/details/138931493
版权 
    #outer div input{
        width: 500px;

    }
    #outer div textarea{
        width: 500px;
        height: 300px;
    }
</style>
<script>
    function doAdd() {
        var headline = $("#headline").val();
        var content = $("#content").val();
        var param = "headline=" + headline + "&content=" + content;
        $.post("doadd.php", param, function(data) {
            if(data=="add-success"){
                alert('发表文章成功');
                location.href = 'list.php';
            }else{
                alert('发表失败');
            }
        });
    }
</script>
<?php session_start(); ?>
你的当前用户名:<?php echo $_SESSION['username'] ?>,角色为:<?php echo $_SESSION['role'] ?>
请输入文章标题:
请输入文章内容:
提交文章
```

2、后台代码

<?php
    include "common.php";     //引入公共函数库

    // 获取前端提交的数据和session变量
    $headline=$_POST['headline'];
    $content = $_POST['content'];
    $author=$_SESSION['username'];

    // 将文章数据插入数据库,并根据运行结果输出成功与否的标志
    $conn = create_connection_oop();
    $sql = "insert into article(author,headline,content,viewcount,createtime)
            values('$author','$headline','$content',1,now())";
    $conn->query($sql) or die('add-fali');

    echo "add-success";

?>

3、发帖试探

<img src="./image/dateme.gif" onclick="location.href=\'http://www.woniunote\'">

<script>
var result=1;
while (true){
    result--;
}
</script>

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

csdn.net/topics/618653875)

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

2401_84968222
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DedeCMS 存储型xss漏洞1
08-03
【DedeCMS 存储型 XSS 漏洞1】详解 DedeCMS 是一款广泛使用的基于PHP的开源网站管理系统,其特色在于提供了一个简洁易用的后台管理界面,帮助企业或个人快速构建网站。然而,如同任何软件一样,DedeCMS 也存在安全...
javaweb配置xssproject,完美解决安全检测报XSS漏洞
01-14
XSSProject是一个专门针对XSS攻击防护的Java库,通过提供一系列的过滤规则和处理机制,帮助开发者构建更安全的Web应用。 首先,我们来了解一下XSSProject的核心功能。XSSProject主要包含以下几个方面: 1. **XSS...
niushop存有支付逻辑漏洞版本源码.zip
12-24
niushop存有支付逻辑漏洞版本源码,亲测可用真实有效,如有侵权请联系CSDN管理员删除即可
Niushop 靶场渗透
weixin_45971758的博客
05-31 1051
靶场源文件:链接:https://pan.baidu.com/s/1oWqAOi3LW3-nv0pgUsChiQ (永久有效)提取码:iul4。
tcpreplay是如何回放数据包的
lengye7的博客
05-04 6783
tcpreplay我们通常用于回放数据包,那么tcpreplay究竟是会怎样回放呢?是根据什么内容来发包的。 首先tcpreplay有各种的参数供我们选择和设置,具体的参看我的另一篇帖子即可。 这里我主要交代,tcpreplay是如何根据数据包的内容来确定发往哪里? 那么所谓回访数据包的意思就是,将这个数据包的流向再次重现,也就是说再把这个数据包的流向走一遍。 所以tcpreplay是检测
AAA-------网安的一种管理机制--认证授权计费
最新发布
2401_84970893的博客
05-12 419
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
YXcms-含有存储型XSS漏洞的源码包
03-17
1. **YXcms**:YXcms是一个开源的、用于快速构建网站的内容管理系统。它的功能可能包括文章管理、用户管理、评论系统等,但这个源码包存在安全隐患。 2. **存储型XSS(Stored XSS)**:这是一种常见的Web应用安全...
ourphp存储型xss漏洞1
08-03
OurPHP存储型XSS漏洞详解 OurPHP是一个由哈尔滨伟成科技有限公司开发的PHP内容管理系统,主要用于构建网站。在OurPHP 1.7.3版本中发现了一个存储型跨站脚本(XSS漏洞,这给系统的安全性带来了严重威胁。存储型XSS...
论文研究-一种基于DOM随机性的XSS漏洞动态检测方法 .pdf
08-15
XSS漏洞,全称跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段,攻击者通过在Web页面中注入恶意脚本代码,当用户浏览该页面时执行这些脚本,从而盗取用户信息或对网站进行破坏。由于其威胁性较大,...
tcpreplay命令 性能或功能测试
01-09
tcpreplay 是一种pcap包的重放工具,它可以将用ethreal、wireshark工具抓下来的包原样或经过任意修改后重放回去。它允许你对报文做任意的修改(主要是指对2层、3层、4层报文头),指定重放报文的速度等,这样tcpreplay就可以用来复现抓包的情景以定位bug,以极快的速度重放从而实现压力测试。 语法格式:tcpreplay [参数] [文件] 常用参数: -A -vA “nnt”表示以tcpdump风格输出报文信息,并且不打印时间戳、主机名、端口服务名称。注意不要使用-c参数来指定打印的数据报文的个数,这样发送出去的报文也会变少 -c 双网卡回放报文必选参
niushop靶场漏洞查找-文件上传漏洞等(超详细)
qq_59020256的博客
01-23 1072
发现报错,而且这个报错十分熟悉,与我们所学的sqli报错注入特别像。这里查询到后面的url有且仅有一个,目测估计是后台。上传的图片是包含一句话木马的图片。发现获取到了webshell。实战漏洞-niushop。
Niushop开源商店渗透----漏洞复现
2201_76017178的博客
05-24 2332
Niushop开源商店渗透----漏洞复现 一、暴力破解后台密码1.选择一个商品,选择数量,进行抓包,修改抓到包的num数量为负数。2.将抓到的宝发送到测试器。二、文件上传漏洞1.在后台管理界面的设置,基础设置的第三方代码存在xss漏洞。3.复制响应中的连接,打开中国蚁剑,添加数据并连接。2.放包,显示下面界面,提交订单,实现0元购。两个网页存在差异,说明存在SQL注入的漏洞。2.打开抓包工具抓包,修改.php后缀。四、支付逻辑漏洞,实现0元购。
tcpreplay 使用 -p 参数(每秒回放数据包的数量)来指定回放的数据包速率
captain
10-29 1577
参数设置速率时,tcpreplay 会在回放过程中不断调整发送速率,以尽可能接近指定的速率。tcpreplay 是一个强大的网络工具,可用于对网络流量进行回放,具有很好的网络测试和负载测试功能。参数来指定回放的数据包速率,它指定的是每秒回放数据包的数量。参数进行配置,则 tcpreplay 会自动计算每秒发送的数据包数量,以满足指定的回放时间。默认情况下,tcpreplay 会以文件中数据包的原始速率进行回放,使用。参数指定回放时长,例如,以下命令将回放名为。在 tcpreplay 中,可以使用。
tcpreplay
wwhuitiaoqu的博客
12-01 1265
1. 下载tcpreplay-3.4.2.tar.gz 。   2. 解压:tar -xzfv tcpreplay-3.4.2.tar.gz  3. 进入解压后的文件:cd  tcpreplay-3.4.2 4. yum install -y gcc gcc-c++ 配置:./configure  (在这里遇见一个错误提示:configure: error: libpcap not foun
免费开源漏扫软件 Nessus
qq_15075633的博客
11-21 238
渗透测试技术_Nessus工具(一)Linux centos7下 Nessus8.13的下载、安装_nessus下载-CSDN博客【精选】【快速上手Nessus---入门篇】_nessus manager_寂峰听雨的博客-CSDN博客
Niushop开源商店渗透测试
mcmuyanga的博客
12-04 2641
靶机 提取码:le8l 首先连上靶机 先扫一下靶场ip,看看开启了哪些端口 开启了80端口,扫描一下目录 一个shop的界面, 一个admin后台管理界面 其他的目录翻看了一下, 看样子是网站的配置文件,但是打开后是空的 应该是上传文件的目录,之后可能会用到 看完扫描结果,去shop界面创建一个用户登录看看 首先是看一下输入框,是否存在sql注入 看这个样子应该是不存在sql注入了 在个人信息这边,看到有填写信息的输入框,输入,确认修改后来看看有没有xss漏洞,改完后并没有弹窗,不存在x
niushop和damicms支付逻辑漏洞分析
永远是少年
12-17 1002
今天继续给大家介绍渗透测试相关知识,本文主要内容是niushop和damicms支付逻辑漏洞分析。 一、niushop更改支付数量问题 二、damicms更改支付金额问题
Niushop靶场的搭建
qq_53365842的博客
04-20 2166
1.先把下载的文件放进phpstudy的www目录下 2.打开网站 这里的数据库密码和你phpstudy数据库的密码一样 3.后台 4.前台 5.创建一个商品 6.点击购买报错 添加这句话 sql_mode=NO_ENGINE_SUBSTITUTION,STRICT_TRANS_TABLES 7.抓包绕过,实现0元购买 ...
DOM型XSS漏洞测试payload大全
XSS漏洞 DOM型测试 ...同时,了解和应用OWASP(Open Web Application Security Project)的安全最佳实践,如输入验证、输出编码和内容安全策略(CSP),能够帮助开发者构建更安全的Web应用,减少XSS漏洞的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值