DOM型XSS;cookie获取及XSS后台使用;XSS钓鱼演示;XSS获取键盘记录实验演示

最新推荐文章于 2024-06-19 01:26:59 发布
最新推荐文章于 2024-06-19 01:26:59 发布
阅读量2.1k 收藏 8
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44696653/article/details/89424273
版权
本文详细介绍了DOM型XSS的概念,通过DOM操作导致的安全漏洞,并展示了如何利用DOM型XSS获取Cookie。此外,还探讨了XSS钓鱼攻击的实施过程,以及如何利用XSS获取键盘记录的实验。文中使用pikachu平台进行了一系列的实际操作演示。
摘要由CSDN通过智能技术生成

DOM型XSS

DOM简介(摘录)
通过JavaScript,可以重构整个HTML文档,可以添加、移除、改变或重排页面上的项目。
要改变页面的某个东西,JavaScript就需要获得对HTML文档中所有元素进行添加、移动、改变或移除的方法和属性,都是通过文档对象模型来获得的(DOM)。
所以就可以将DOM理解为访问HTML的标准编程接口。
DOM型XSS漏洞演示
在pikachu平台DOM型XSS分区进行实验的演示,输入1111查看后台源码。
在这里插入图片描述
可见当在标签中输入一个字符串时,后台会将字符串用DOM的方法拼接到a标签中。a标签会被写到id=DOM的div标签中。
以< a href=’"+str+"’>what do you see?</ a>为基础构建payload。已知”+str+"是我们可以修改的内容。将”+str+“改为#’ “alert(111)”>,将payload进行输入尝试。
在这里插入图片描述
点击what do you see的链接弹出111的窗口。可见此处存在XSS漏洞。
分析:DOM型的XSS漏洞不同于反射型和存储型并不经过后台,只是在前端被dom获取到,通过dom又在前端输出了。

最低0.47元/天 解锁文章
黑黑黑白白白
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
利用 XSS 获取 Cookie 利用DOM XSS
weixin_71416901的博客
06-21 1063
XSS
第23篇:XSS绕过防护盲打某SRC官网后台
ABC_123的博客
09-19 1750
Part1 前言已经N年没挖SRC了,前几年曾有一段时间对XSS漏洞挖掘特别热衷,像反射XSS、存储XSSDOMXSS等挖得很上瘾,记下了很多笔记。遗憾的是多数平台都不愿意接收XSS漏洞,哪怕是存储XSS漏洞给的评分都很低,因为XSS不能造成直接危害,利用起来有困难。所以当时花费了2天的时间,绕过各种防护及过滤,盲打到了一个SRC电商官网的后台。正好公众号文章写到现在,也缺少一篇讲解...
使用pikachu管理工具下的XSS后台进行实战
北冥同学的成长记录笔记
07-29 3422
pikachu管理工具下的XSS后台是一个通过Cookie窃取和利用、钓鱼攻击、键盘行为记录这三个实战实验来帮助学习者理解XSS漏洞的原理和危害的一个平台。旨在帮助学习者在实战中深入理解理论,从而可以更好的防御XSS漏洞。
Web安全基础学习:XSS跨站脚本漏洞之DOMXSS
最新发布
qq_51862722的博客
06-19 1357
DOMXSS漏洞:非持久XSS,且不与后台服务器产生数据交互,而是通过JS修改网页的DOM来执行恶意脚本进行攻击。注意,DOMXSS与反射和存储最大的区别在于,DOMXSS不经过服务端,全部的攻击过程都在客户端完成。
XSS平台搭建及后台使用cookie获取
2302_79885863的博客
04-12 1328
点击XSS后台,这就是我们收集cookie的网站,第一次进入需要初始化,如果你的数据库密码改了的就要去靶场的根目录的pkxss/inc/config.inc.php把链接数据库密码改成一致(案列靶场是这个,反正就是要找到这个配置文件)执行完之做了一个php的重定向,做完上面操作,保存完数据库之后,重新给你访问了一下这个网址,这个网址应该改成存在漏洞的网站的IP。然后我们把留言删除,刚刚我们知识测试是否存在有这个漏洞,然后我们现在想要获取cookie,需要构造代码了。这里的IP是能和虚拟机通信的,
3-5通过XSS获取cookie以及XSS后台管理系统的使用
山兔的博客
04-23 3895
XSS漏洞测试:cookie获取钓鱼攻击演示XSS漏洞测试:cookie的窃取和利用 同时讲到getxss的利用,postxss的利用  XSS漏洞测试:钓鱼攻击  XSS漏洞测试:xss获取用户键盘记录 让大家更好的理解xss的危害以及原理 案例1:xss如何获取cookie? GETXSS利用:cookie获取 pkxss管理后台使用介绍 在源码包里面,有一个pkxss,我们可以把这个目录,单独的放在某个目录下面,这个东西其实是一个可以独立使用后台,我们可以单独的把他放在站点目录下
第七周作业 1.domXSS详解及演示 2.cookie获取xss后台使用 3.反射XSS(POST) 4.xss钓鱼演示 5.xss获取键盘记录演示
weixin_43899561的博客
04-21 1885
1.domXSS详解及演示 一、什么是DOM?怎么理解DOM? DOM全称是Document Object Model,也就是文档对象模。我们可以将DOM理解为,一个与系统平台和编程语言无关的接口,程序和脚本可以通过这个接口动态地访问和修改文档内容、结构和样式。当创建好一个页面并加载到浏览器时,DOM就悄然而生,它会把网页文档转换为一个文档对象,主要功能是处理网页内容。故可以使用 Javasc...
网络安全原理与应用:反射XSS攻击演示.pptx
05-16
反射XSS(Cross-site scripting)攻击是一种常见的Web应用程序安全问题,主要利用用户输入的数据未经充分验证或过滤,直接在浏览器中执行,从而对用户的浏览器发起攻击。这种攻击模式的关键在于,恶意脚本不会被...
反射xss攻击代码.rar
05-14
反射跨站脚本攻击(Reflected Cross-Site Scripting,简称反射XSS)是一种常见的网络安全威胁,攻击者利用此类漏洞可以窃取用户的敏感信息,例如Cookie、Session ID等。Java作为一种广泛使用的后端开发语言,也...
XSS漏洞 DOM测试 payload代码
02-26
XSS漏洞 DOM测试 payload代码 这是测试跨脚本攻击是否有DOMXSS的漏洞,适合网络安全初学者进行测试。 跨脚本攻击漏洞是top10的一种。
18.XSS跨站脚本攻击原理及代码攻防演示(一)1
08-03
XSS攻击主要分为三种类:反射、存储DOM。 1. XSS原理: XSS攻击的核心在于利用网站对用户输入的处理不当,将恶意脚本嵌入到网页中。当用户访问被注入脚本的页面时,浏览器会将其当作正常网页内容执行,...
反射XSS,存储XSSDomXSS,如何获取cookie,XSS钓鱼XSS获取键盘记录
weixin_43858799的博客
04-22 3032
XSS: 反射XSS,存储XSSDomXSS,如何获取cookie,XSS钓鱼XSS获取键盘记录 一、跨站脚本漏洞(XSSXSS漏洞一直被评估为web漏洞中危害较大的漏洞 XSS是一种发生在web前端的漏洞,主要危害前端用户 XSS可以通过进行钓鱼攻击,前端js挖矿,用户cookie获取,甚至结合浏览器自身漏洞对主机进行远程控制等 攻击流程图: 危害:存储>反射>D...
TOP16-XSS -- 小黑超细详解-+案例说明(盗取cookie登录)<宝藏文>
G_WEB_Xie的博客
04-03 1308
概念:通常指通过HTML注入篡改了网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。当入侵网站后,通过自己编定的脚本或者木马嵌入到网站页面,利用网站的流量将自己的网页木马传播出去从而达到自己的目的,当用户浏览网站的时候点击了编订的恶意程序脚本,从而达到获取用户信息,进行一系列未授权的操作。通俗理解:此漏洞主要以盗取用户信息, 获取用户的权限做一些越权操作,还可以结合其它漏洞进行一系列的攻击行为。
XSS键盘记录cookie获取
Williamanddog的博客
01-26 1785
跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混 淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意JavaScript代码,当用户浏览该页 面时,嵌入Web里面的JS代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的 攻击。 在一个Web页面上,有一种很常见的功能是将用户输入的内容输出到页面上。但是如果这里输入的内容 。
XSS跨站脚本攻击原理与实践 信息安全概论学习心得
zz13634628165的博客
05-26 2495
一、实验目的 本次实验所涉及并要求掌握的知识点。 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶..
pikachu通关之XSS实操
keeplearn10的博客
08-09 82
pikachu通关之xss
实验24:domxss详解及多种场景演示
qq_44720671的博客
04-15 2639
什么是dom? 举个例子来理解一下dom 我们直接进入w3school这个网站来查看dom的实例 我们点开 这边就是一段纯html的代码 我们再把它原有的java script代码放回去 这段代码就是对x进行一个getElementById的赋值,当你点击这个标题的时候,他会把值转给function,然后就会弹出一个这是标题的框 这一整个过程都是在前端进行的,没有与后台进行交互,所以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑黑黑白白白

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值