Pikachu实验过程3(XSS的分析)

最新推荐文章于 2024-09-19 19:34:51 发布
最新推荐文章于 2024-09-19 19:34:51 发布
阅读量635 收藏
点赞数
分类专栏: Pikachu实验过程
本网站/论坛/博客为编辑作品,整体著作权属于本人(筱楠)所有。本网站/论坛/博客许可他人建立友情链接,但链接所指向的内容应是本网站/论坛/博客首页。未经本人许可不得随意转载
本文链接:https://blog.csdn.net/gl620321/article/details/89404819
版权

一.存储型xss的解析
1.存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie(虽然还有种DOM型XSS,但是也还是包括在存储型XSS内)。
2.存储型xss漏洞跟反射型形成的原因一样,不同的是存储型xss下攻击者可以将脚本注入到后台存储起来,构成更加持久的危害,因此存储型xss也称"永久型"xss.
在这里插入图片描述
在这里插入图片描述
二.DOM型xss
1.DOM型XSS其实是一种特殊类型的反射型XSS,它是基于DOM文档对象模型的一种漏洞。
在网站页面中有许多页面的元素,当页面到达浏览器时浏览器会为页面创建一个顶级的Document object文档对象,接着生成各个子文档对象,每个页面元素对应一个文档对象,每个文档对象包含属性、方法和事件。可以通过JS脚本对文档对象进行编辑从而修改页面的元素。也就是说,客户端的脚本程序可以通过DOM来动态修改页面内容,从客户端获取DOM中的数据并在本地执行。基于这个特性,就可以利用JS脚本来实现XSS漏洞。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
三.GET型xss利用:cookie获取xss后台
在这里插入图片描述
在这里插入图片描述
四.post方式下的xss漏洞的利用
在这里插入图片描述
五.xss钓鱼攻击演示
在这里插入图片描述
六.XSS获取键盘记录的方式
在这里插入图片描述

Serendipity_筱楠
关注
专栏目录
Web应用安全:XSS篡改页面(实验).docx
06-19
"Web应用安全:XSS篡改页面(实验)" 本节课将介绍Web应用安全中的一种常见攻击手法:跨站脚本攻击(Cross-Site Scripting,XSS)。XSS攻击是指攻击者在Web应用程序中注入恶意脚本,然后当用户访问该Web应用程序时...
XSS与SQL的简单介绍
qq_53188113的博客
12-23 950
XSS 1、什么是XSS XSS又叫CSS (Cross Site Script) 也称为跨站,它是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。 2、什么是XSS攻击 XSS攻击是指入侵者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行,由于HTML语言允许使用脚本进行简单交互,入..
利用XSS进行网页钓鱼
Monsterlz123的博客
07-22 6737
XSS漏洞】利用XSS进行网页钓鱼 Hello 各位小伙伴周末晚上好 这里是你们微胖的小编Monster。 话说小编的老妈今天给小编打电话,叮嘱我平时吃饭少吃一点… 说昨天看我朋友圈发的照片,已经从以前的瓜子脸,变成国字脸了… Whatever,让我们一起来看看今天的内容吧 一、实验概述 实验拓扑: 利用XSS漏洞,我们可以在网页中插入恶意js代码,通过js代码,我们可以干很多事情,例...
pikachu(sql注入)
最新发布
m0_74394274的博客
09-19 886
大家好
【web-ctf】ctf-pikachu-暴力破解
一个努力生活的人的博客
06-11 3067
文章目录暴力破解(Brute Force)1.基于表单的暴力破解 burpsuite配置 火狐浏览器需要导入证书 如果无法抓到127.0.0.1的包,可以试试以下操作 暴力破解(Brute Force) 1.基于表单的暴力破解 使用burpsuite工具中的intruder模块进行暴力破解:intruder模块使用教程 先随便输入一个username和password 利用burpsuite进行抓包 将抓到的包导入intruder模块(在空白处右键,选择send to intruder)
【web-ctf】ctf-pikachu-sql
一个努力生活的人的博客
07-11 1188
pikachu-sql
Pikachu6_XSS(跨站脚本攻击)
weixin_44193247的博客
03-16 5110
Pikachu漏洞复现练习篇
Web应用安全:XSS盗取cookiepayload(实验习题).docx
06-17
Web 应用安全:XSS 盗取 Cookieayload 实验习题 在本文中,我们将讨论 Web 应用安全中的一种常见攻击方式:XSS(Cross-Site Scripting),并通过实验习题来加深对 XSS 攻击的理解。 Cookie 的作用 Cookie 是一种...
Web应用安全:简单XSS测试脚本(实验).docx
06-19
- 分析源代码,发现需闭合`<a>`标签,输入`' onclick="alert('xss')">`,成功弹窗。 4. **XSS盲打测试**: - 在盲打测试站点输入包含XSS脚本的字符串,然后在后台...
Web应用安全:XSS通过JavaScript攻击(实验).docx
06-20
实验目的旨在让你理解XSS的基本概念,掌握其攻击方式,特别是利用JavaScript的手段,并了解攻击的实施过程XSS攻击通常分为反射型、存储型和DOM型三种类型,而JavaScript是实现这些攻击的关键工具,因为它可以动态...
Web应用安全:事件绑定函数的XSS实验).docx
06-18
3. **掌握事件绑定函数在XSS攻击中的应用**:攻击者可以利用事件绑定函数,构造特殊形式的XSS payload,使得恶意代码在用户进行特定操作时被执行。 实验内容与步骤分为以下几个部分: 1. 首先,启动本地服务器环境...
XSS(Cross-site Script,跨站脚本)漏洞笔记
qq_32812063的博客
11-22 1862
xss笔记
N1-Xampp安装以及pikachu测试平台的搭建
尐猴子君ii的博客
03-24 4694
今天要讲的是Pikachu渗透测试平台的搭建过程,下面猴子君就为大家一一道来。 Xampp集成软件的安装与调试 1.下载安装Xampp软件 百度搜索Xampp 点击进入官网 这里有三种系统版本可以选择,这里猴子君选的是Windows版本的 下载完成,疯狂下一步,安装完成!这里猴子君就不进行详细叙述了,安装目录记住就好啦! 2.安装完成,打开软件 3.点击左侧的小方块,点击yes,进行服务安装...
Pikachu(皮卡丘)web漏洞练习平台记录(5)
SSDZLDL的博客
04-10 685
今天把皮卡丘弄完。
Pikachu(皮卡丘)靶场搭建
m0_64005272的博客
12-26 5131
Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么Pikachu可能正合你意。
【web-ctf】ctf-pikachu-fileupload
一个努力生活的人的博客
08-21 1349
ctf-pikachu-fileupload
搭建pikachu的环境
jomos的博客
06-21 5290
大致分为一下步骤: 一.XAMPP的安装及注意事项: 1.首先在xampp官网下载最新的安装包 2.注意两个事项(图一表示此文件夹不为空,需新建一个文件夹;图二表示此文件夹名称不合法) 3.安装完毕 二.burpsuite安装: 1.在burpsuite官网下载好安装包 2.安装完毕打开burp suite 3.firefox浏览器安装: 在官网下载最新安装包,直接安装即可 ...
Pikachu靶场--暴力破解
qq_65150735的博客
06-12 965
Pikachu靶场--暴力破解
pikachu靶场搭建教程(以物理主机访问虚拟机为例)
Victor1889的博客
12-20 3774
pikachu靶场搭建教程(以物理主机访问虚拟机为例)
pikachu靶场dom型xss
08-16
Pikachu靶场是一个用于漏洞测试的平台,而DOM型的XSS(跨站脚本攻击)是一种利用网页中的DOM(文档对象模型)进行攻击的方式。在DOM型XSS攻击中,攻击者通过注入恶意脚本来篡改网页的行为,使其执行攻击者预期的操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值