渗透测试XSS环境配置

最新推荐文章于 2024-09-10 15:48:00 发布
最新推荐文章于 2024-09-10 15:48:00 发布
阅读量2.6k 收藏 6
点赞数
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nielilijy/article/details/95049968
版权

1、下载xss源码

链接:https://pan.baidu.com/s/1f_MrjPZJsxKUt7pTgRBnnQ 
提取码:3xck 

下载完成之后,解压到C:\phpStudy\WWW(因为我的phpstudy是安装在这个路径下)


2、修改C:\phpStudy\WWW\xsser\config.php里面的数据库连接字段,包括数据库配置、URL配置以及显示设置;

注意将注册配置先设为normal,在自己注册一个之后再使用其他的选项
3、先在192.168.245.131/phpMyAdmin/index.php这个创建数据库

将根目录下的数据库文件(xssplatform.sql)导入上面新建的数据库

导入之后执行以下SQL语句:

UPDATE oc_module SET code=REPLACE(code,'http://xsser.me','http://192.168.245.131/xsser’)。

注:这里可以换成你自己的ip

4、配置伪静态文件(.htaccess)

a)如果是Apache服务器,则内容如下:

1

2

3

4

5

6

RewriteEngine On

RewriteBase /

RewriteRule ^([0-9a-zA-Z]{6})$ /index.php?do=code&urlKey=$1 [L]

RewriteRule ^do/auth/(\w+?)(/domain/([\w.]+?))?$  /index.php?do=do&auth=$1&domain=$3 [L]

RewriteRule ^register/(.?)$ /index.php?do=register&key=$1 [L]

RewriteRule ^register-validate/(.?)$ /index.php?do=register&act=validate&key=$1 [L]

b)如果是Nginx服务器,则内容如下:

1

2

3

4

5

rewrite "^/([0-9a-zA-Z]{6})$" /index.php?do=code&urlKey=$1 break;

rewrite "^/do/auth/(w+?)(/domain/([w.]+?))?$" /index.php?do=do&auth=$1&domain=$3 break;

rewrite "^/register/(.?)$" /index.php?do=register&key=$1 break;

rewrite "^/register-validate/(.?)$" /index.php?do=register&act=validate&key=$1 break;

rewrite "^/login$" /index.php?do=login break;

将建好的.htaccess文件放在所建项目根目录即可

5、然后访问http://192.168.245.131/xsser/index.php

6、然后注册账户(这时的配置文件config.php文件的注册配置先设为normal),注意邀请码可以随便填就可以,剩下的正常填写

然后会出现,注册成功

7、登录这里192.168.245.131/phpMyAdmin/index.php,修改oc_user表里的adminLeverl项的值为1,然后修改配置文件config.php文件的注册配置为invite

8、重新登录这里192.168.245.131/phpMyAdmin/index.php,然后访问192.168.245.131/phpMyAdmin/index.php?do=user&&act=invite,发放邀请码就可以了

9、整个xss环境配置完成

如何搭建XSS测试环境
Quest_sec的博客
06-04 1947
1.首先在本地搭建一个Web服务器,简便起见,可以使用AspServer。这是一款绿色的ASP服务器,可以简单地开发和调试ASP程序。下载安装较简单。 2.配置完毕,下载一套用来测试的Web程序。 3.将Web网站程序文件包解压,将AspServer放入网站根目录,再打开AspServer。 【提示80端口被占用,解除占用步骤如下】 3.1.命令行下,查看80端口占用情况、是被哪个进程占用的、看...
XSS环境搭建
糖果不甜的博客
10-05 1856
xss测试平台是测试xss漏洞获取cookie并接收web页面的平台,xss可以做js能做的所有事情,包括但不限于窃取cookie,后台增删文章,钓鱼,利用xss漏洞进行传播,修改的网页代码,网站重定向,获取用户信息(如浏览器信息,ip地址)等,这里使用的是基于xsser。me的源码,可以在网站https://www.ms08067.com/tool.html下载 ...
web基础之XSS
最新发布
m0_74080781的博客
09-10 1435
突然想到一个问题,我刚才制作的攻击语句中的IP是本地的回环地址,所以如果我在虚拟机的靶场中测试攻击,那么我的蓝莲花平台是接收不到的,所以这里先在本地的靶场测试,等下在演示在虚拟机中的(如果蓝莲花平台部署在云服务器,就能攻击其他互联网用户)(2)尝试了大佬的在线xss平台;(该平台主机上线有提示语音并且功能比蓝莲花和我搭建的另一个xss平台都好,所以就借助大佬搭建的xss平台作为本期演示平台)填写接收数据的url ,格式:当前蓝莲花平台的url + 文件名(文件名自己取)(1)首先尝试,不成功;
Spring Boot配置XSS
a123123sdf的博客
02-21 2692
spring boot 配置xss
XSS过滤器的配置解析
m0_37027631的博客
12-13 4245
XSS过滤器的配置解析 http://pan.baidu.com/s/1eSgIwMI(百度云代码下载链接) 知识点拓展:在myeclipse或者eclipse中src或者WebRoot(myeclipse中)/WebContent(eclipse中)中的文件的路径是项目的根路径 1、src下(或者任意路径下)创建XSSFilter文件夹,里面创建五个类(详细代码去上边百度云链接地址中下载)
保姆级 | XSS Platform环境搭建
尼泊罗河伯的博客
12-07 4332
XSS Platform 平台主要是用作验证跨站脚本攻击。该平台可以部署在本地或服务器环境中。我们可以使用 XSS Platfrom 平台搭建、学习或验证各种类型的 XSS 漏洞。
渗透测试环境部署DVWA
10-29
在部署DVWA进行渗透测试环境的过程中,首先需要下载并解压DVWA的源代码,这个压缩包文件名为"DVWA-master"。这个文件通常包含以下组成部分: 1. **源代码**:DVWA的PHP源代码,用于构建脆弱的应用程序。这些代码中...
网络渗透测试环境安装包
01-14
"网络渗透测试环境安装包"就是为了这个目的而准备的,它包含了多个工具和平台,如phpStudy、DVWA(Damn Vulnerable Web Application)以及Mutillidae。 phpStudy是一款非常流行的PHP开发和测试环境集成软件,它集成...
渗透测试-XSS
SK1ng的博客
10-03 2677
XSS 原理 XSS 即跨站脚本攻击(Cross Site Script),通过构造代码(JS)注入网页中,并由浏览器解释运行这段JS代码,以达到恶意攻击的效果。当用户访问被XSS脚本注入的网页,XSS脚本就会被提取出来。用户浏览器就会解析这段浏览器代码,也就是用户被攻击了 微博、留言板、聊天室、订单等等收集用户输入的地方,都有可能被注入XSS 代码,都存在遭受XSS 攻击的风险,只要没有对用户的输入进行严格的过滤,就会被XSS 攻击 危害 盗取各种用户账户 盗取用户Cookie资料,冒充用户身份进入网
渗透测试环境,建议配合皮卡丘使用,一键导入即可
12-19
在这个场景中,标题和描述提及了“渗透测试环境”和“皮卡丘”,暗示这可能是一个为渗透测试人员准备的工具或者环境配置,且可以与名为“皮卡丘”的工具无缝配合,实现快速部署。 “皮卡丘”可能是专门为渗透测试...
渗透测试XSS
preserphy的博客
07-04 99
XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。根据恶意代码是否存储在服务器中,XSS可以分为存储型XSS、反射型XSS、本地型XSS、DOM型XSS。=============...
Springboot配置XSS过滤器XssFilter
热门推荐
涛哥是个大帅比
12-08 1万+
简单介绍: XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 sql注入:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用
XSS 平台搭建与优化(基于 xsser.me 源码)
收集盒 Book box
08-03 9448
这个周花了点时间捣鼓公司内网论坛,不幸发现原来搭建的 xss platform 挂了,于是重新找了一份代码进行搭建。 在 zone 里面找了一份别人优化过的代码,作者是 Gosuto ,地址点我 为什么选择这个呢,主要是因为作者用 Bootstrap 对xsser.me的默认主题进行了修改,看起来高大上了很多~(至于兼容移动端神马的就算了吧0 0) 下载源码后,照着作者写的安装说
保姆级 XSS Platform环境搭建_xss平台搭建,2024年大厂网络安全岗面试必问
2401_84140347的博客
04-06 1515
下载 xss platform 项目。这里使用 Xftp 工具,将 xssplatform 项目上传到网站根目录下。
保姆级 XSS Platform环境搭建_xss平台搭建(2),细节爆炸
2301_76225520的博客
04-16 947
XSS Platform 平台主要是用作验证跨站脚本攻击。该平台可以部署在本地或服务器环境中。我们可以使用 XSS Platfrom 平台搭建、学习或验证各种类型的 XSS 漏洞。
Web安全之XSS攻击解决方案
thisIsDennis的博客
03-17 645
一.XSS介绍 网站中包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS )有所区分,故称XSS)的威胁,而静态站点则完...
web安全渗透测试十大常规项(二):web渗透测试XSS跨站脚本攻击
HACKONE的博客
05-26 372
渗透测试XSS跨站脚本攻击XSS跨站脚本攻击 XSS跨站脚本攻击
渗透测试--xss
酷狗直播-锦凡歆的博客
12-22 747
作者: 锦凡歆在‘来疯’直播唱歌最好听 跨站脚本攻击 XSS 漏洞概述 - 简介 XSS 作为OWASP TOP 10 之一, XSS 被称为跨站脚本攻击(Cross-site scripting),本来应该缩写为CSS,但是由于和CSS(Cascading Style Sheets,层叠样式脚本)重名,所以更名为XSSXSS(跨站脚本攻击)主要基于javascrip...
Spring防止Xss配置
w1366352655的博客
01-03 1140
web.xml配置 <!-- xss过滤器 --> <filter> <filter-name>XssFilter</filter-name> <filter-class>com.zyyt.sipctask.common.filter.XssFi...
XSS平台搭建全过程
zhangyingjie1982的博客
11-15 5454
XSS平台搭建全过程 从网上下载最新的wamp3.0.6 和 XSS Platform。 1、安装wamp,将XSS Platform源码放到wamp的www目录下,文件夹取名为xss。 2、运行wamp。 如果wamp未正常运行,80端口被占用,考虑IIS和SQL Report什么服务。 3、运行phpMyAdmin,用户名root,密码为空,登录。 4、点击数据库菜单,添加名为xss的数据库,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值