实验27:xss钓鱼演示

最新推荐文章于 2023-04-23 17:12:19 发布
最新推荐文章于 2023-04-23 17:12:19 发布
阅读量952 收藏 3
点赞数
分类专栏: 作业
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44720671/article/details/89381239
版权

实验思路:
我们会用basic认证来做一个钓鱼的场景
我们可以在存在着xss漏洞的页面里面嵌入一个请求,当用户打开这个嵌入了恶意代码的页面,用户的页面就会弹出图中的登陆框,如果用户的安全意识不太够,那么就会把账号和密码发送到我们的pkxs后台
在这里插入图片描述
我们在pikachu的储存型XSS上来做演示,输入这个payload
在这里插入图片描述
点提交后
在这里插入图片描述
因为他是个存储型xss,所以我们的留言板里已经留下了,所以我们刷新一下后会发现每次我们访问这个页面都会弹出这个登陆的框
在这里插入图片描述
用户如果在这个地方输入账号密码的话,就会被我们后台的软件给获取到
在这里插入图片描述

以菜之名
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
XSS钓鱼攻击演示
weixin_44720762的博客
05-01 3410
basic认证的钓鱼攻击: 在存在xss漏洞的页面去嵌入一个向用户端提交的请求程序(javascript或者是链接请求。)当用户打开了这个链接,就会向后台发送请求,后台会返回一个如上图所示的basic认证的头部。在用户的安全意识不强,为察觉出其中异样的情况下如实输入了自己的用户信息。这时候信息被发送到攻击人员的接受端。 相关的嵌入代码 相关的basic认证提示框代码 xfish原代码 具体内容:...
xss钓鱼演示
qq_42764906的博客
04-22 246
在存储型XSS里输入(注:和上一节一样需要根据路径更改网址) 得到(弹出) 因为是存储型XSS 再次打开还会弹出这个页面
利用XSS进行网页钓鱼
Monsterlz123的博客
07-22 6620
XSS漏洞】利用XSS进行网页钓鱼 Hello 各位小伙伴周末晚上好 这里是你们微胖的小编Monster。 话说小编的老妈今天给小编打电话,叮嘱我平时吃饭少吃一点… 说昨天看我朋友圈发的照片,已经从以前的瓜子脸,变成国字脸了… Whatever,让我们一起来看看今天的内容吧 一、实验概述 实验拓扑: 利用XSS漏洞,我们可以在网页中插入恶意js代码,通过js代码,我们可以干很多事情,例...
XSS钓鱼某网约车后台一探究竟,乘客隐私暴露引发思考
dfdhxb995397的博客
05-16 234
i春秋作家:onls辜釉 最近的某顺风车命案,把网约车平台推上了风口浪尖,也将隐私信息管理、审查的讨论面进一步扩大。这让我不禁联想起自己今年春节的遭遇,当时公司放假准备回家过年,我妈给我推荐了一个在我们那十八线小城当时正搞活动的网约车平台,从市火车站到县里原本100+的车费,平台新用户只需1元。是个没听过的平台本有点不放心,不过抱着尝试新鲜事物(穷)的心态还是下载注册了试试,但出...
XSS钓鱼攻击
WINDY_PACE的博客
05-13 1407
XSS 不与后台服务器产⽣数据交互,通过前端的dom节点形成的XSS漏洞,跟服务器⽆关。⼀...
XSSBypass:XSS绕过技术
05-17
通常包含一个能触发XSS的特定输入,用于演示攻击的效果。在XSSBypass-master这样的资源中,可能包含了各种PoC代码,供研究和学习。 6. **XSS攻防实践** - 对于安全研究人员,了解并创建有效的PoC是发现和报告漏洞...
Web应用安全:XSS篡改页面(实验).docx
06-19
"Web应用安全:XSS篡改页面(实验)" 本节课将介绍Web应用安全中的一种常见攻击手法:跨站脚本攻击(Cross-Site Scripting,XSS)。XSS攻击是指攻击者在Web应用程序中注入恶意脚本,然后当用户访问该Web应用程序时...
网络安全原理与应用:反射型XSS攻击演示.pptx
05-16
演示中,我们通过DVWA(Damn Vulnerable Web Application)这个安全学习平台,逐步展示了不同安全级别的反射型XSS攻击。 1. **初级攻击**: - 在DVWA的安全级别设置为Low时,攻击者可以在输入框中输入`<script>...
Web应用安全:XSS盗取cookiepayload(实验习题).docx
06-17
Web 应用安全:XSS 盗取 Cookieayload 实验习题 在本文中,我们将讨论 Web 应用安全中的一种常见攻击方式:XSS(Cross-Site Scripting),并通过实验习题来加深对 XSS 攻击的理解。 Cookie 的作用 Cookie 是一种...
调查:XSS攻击Web应用程序-研究论文
05-20
XSS攻击的类型为非持久(或反映)的XSS,持久(或存储的)XSS和基于DOM的漏洞。 跨站点脚本(XSS)漏洞的主要原因是无法清理植入网页中的用户输入。 尽管采用了安全的编码技术并使用了漏洞检测工具,但XSS仍保留在...
XSS攻击 代码演示
05-13
网站xss 攻击 代码示例,包括alert弹框,钓鱼网站截取用户cookie信息等;是学习xss的简单示例。可以下载玩玩看看,示例中的钓鱼网站地址为 演示地址,即本资源中的项目地址。xss也是很简单的,可以学习学习
渗透测试-xss钓鱼测试和xss盲打
lza20001103的博客
04-24 2345
渗透测试-xss钓鱼测试和xss盲打
Pikachu——Xss钓鱼
最新发布
m0_60767986的博客
04-23 7895
前端js代码限制输入框只能提交20个字段,将它修改为100即可(当然,这是get型xss,可以直接在url传参处添加攻击语句)提交攻击语句后发现,跳转回了靶场首页,网页debug发现:第一:请求了指定的钓鱼页面的url,并在后面携带了我的cookie信息第二:跳转回靶场首页(前面“靶场cookie获取的额外操作”的结果,用来抵消受害者的怀疑)
xss漏洞之——钓鱼页面
wsnbbz的博客
03-04 2550
1.重定向钓鱼:把当前页面重定向到一个钓鱼页面,此处使用百度测试 代码: <script>document.location="http://www.baidu.com"</script> 注入后效果: 2.HTML 注入式钓鱼:使用 XSS 漏洞注入 HTML 或 JavaScript 代码到页面中 代码(页面注入一个登陆界面,通过后台接收): <html&g...
xss实现钓鱼操作
weixin_38168786的博客
01-29 1328
自己写一个和原网站后台登录地址一模一样的钓鱼页面JS加载一个iframe 100%覆盖原网页 提示登录超时重新登录 因为是iframe加载 url地址不变 钓鱼成功后 再跳转回/admin/index.php 因为目标session没过期 所以可以极大程度的模拟正常的登录成功操作。 注入如下代码: 1 setTimeout(function(){ 2 parent.docum...
XSS 绕过实例, 钓鱼网站,会话劫持
buffedon的博客
05-26 831
XSS原理--防御--绕过实例原理危害防护绕过实例场景一:事件+单引号闭合场景二:大小写绕过场景三:双写绕过场景四:JavaScript伪协议+编码场景五:事件+%0a当做空格场景六:http头部参数插入payload场景七:文件解析 原理 危害 防护 绕过实例 场景一:事件+单引号闭合 ‘οnmοuseοver=alert(1)’ 查看源代码后发现,value是要用单引号进行闭合 场景二:大小写绕过 "><scRIp>alert(1)</script><" 发现
xss漏洞钓鱼
rescure的博客
01-21 1043
利用xss漏洞钓鱼 简要:由于资金问题,没有自己的网站,故在此用xss平台和dvwa实现xss反射型钓鱼操作 NO.1 正常进入dvwa,模式选择为low,使用xss(refelect) 进入xss平台,选择创建项目,在此为dvwa,创建之后,选择功能默认即可 ,随后平台会生成自己的js代码 NO.2 接下来,复制生成的js代码,粘贴至xss漏洞处(具体情况需要自己分析是什么类型的) 接下来就是copy大法了 ...
XSS钓鱼和组合拳技巧
goddemon
09-11 562
一.xss钓鱼 ①保存账户密码的后端钓鱼网页 保存js&css到服务器,登录action改为接受密码的文件action="./pass.php" <?php //php $user=$\_POST\['username'\]; $pass=$\_POST\['password'\]; $file=fopen('pass.txt','a+'); fwrite($file,$user."|"."pass" . "\\n"); fclose($file); echo "&lt
xss挖掘思路分享_思路分享实战xss反向钓鱼
weixin_39996750的博客
01-10 1159
两个月了,我还是那么菜,分享一下最近在搞的xss钓鱼案例。看过我前面文章的知道我搞了一个博彩站群,但是苦于不能getshell。所以我想到了一种另类玩法。思路:来源于以前看过的xss钓鱼案例,插入xss代码跳转到我搭建的钓鱼网站,下载执行我的程序。所以我花了8块大洋买了个和flash.cn很相似的域名。区别就在于我的是falsh,搭建了一个flash的钓鱼页面。长得就是这样,来源于Git...
开发者必备:XSS防护完全手册
"给开发者的终极XSS防护备忘录V1.0,由Ajin Abraham撰写,译者为Fooying知道创宇安全研究团队。文档提供了Web应用程序的XSS防护指南,涵盖多种编程语言的防护方法和函数,旨在帮助开发者创建安全的Web应用,抵御XSS...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值