XSS个人学习 之网页篡改

最新推荐文章于 2024-07-05 22:49:45 发布
最新推荐文章于 2024-07-05 22:49:45 发布
阅读量160 收藏
点赞数
文章标签: xss 学习 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_57774303/article/details/134876456
版权

如图所示,我们的替换取得了成功

现在我们将链接修改一下,看是否会成功,

<script>
window.onload = function() {
var link=document.getElementsByTagName("a");
for(j = 0; j < link.length; j++) {
   link[j].href="《原神》官方网站-全新4.2版本「罪人舞步旋」上线!";}
}
</script>

为什么这个行,我那个不行啊

更改成功

<script>
window.onload = function() {
var link=document.getElementsByTagName("a");
for(j = 0; j < link.length; j++) {
   link[j].href="https://www.bilibili.com/video/BV1Ej411a7aC/?spm_id_from=333.1007.tianma.1-1-1.click&vd_source=0ea44b920ed1fd1399137d5f52bd358d";}
}
</script>
这是XSS篡改链接的代码

成功了

页面跳转成功

通通被替换

用beef-xss生成恶意的链接

如图所示

注意 leafpad是文本软件

由此可知 kali机器的ip地址是192.168.56.129

注意如果想要输入的xss语句成功反弹到beef-xss上就必须在kali的攻击机上的浏览器访问八个页面进行语句的插入

setroolkit伪造网站

启动setrookit

选择1 

选择3.

选择2进行站点克隆

直接进行回车

输入要克隆的站点地址  如图所示是一个 我们教学的地址

如图所示

可以看到本机IP地址

xss跳转克隆网站

发现不能输入了 去控制台更改编写的长度

将这里更改长度 

我们看到了用户的账户和密码

登陆完跳转成功

曼达洛战士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于XSS网页篡改网页劫持,网页钓鱼
qq_40334963的博客
11-04 6085
基于XSS网页篡改网页劫持,网页钓鱼 192.168.80.174服务器上存在漏洞页面xss.php 192.168.80.160服务器上有调用的js xss.php: <?php $op = empty($_GET['op']) ? 'Not entered' : $_GET['op']; echo $op; ?> 浏览器地址栏构建简单的反射型xss判断是否存在xss htt...
XSS平台bxss源码
03-27
这种攻击方式通常发生在网站上,攻击者通过注入恶意代码到网页中,当用户浏览这些被篡改的页面时,恶意脚本会在用户的浏览器上下文中执行,可能导致个人信息泄露、会话劫持等严重后果。 "XSS平台bxss源码"是针对XSS...
Web应用安全:XSS篡改页面(实验).docx
06-19
Web应用安全:XSS篡改页面(实验).docx
XSS漏洞利用手段/篡改链接实战/beef生成恶意网页
ChenD的学习笔记
10-10 1176
XSS篡改网页链接,beef生成恶意脚本,搭建恶意网页,劫持目标主机
XSS篡改网页链接
qq_43776408的博客
07-27 1336
JS代码讲解 第一行字面意思 windows:窗口 onload:加载 先把a标签内容都存到link中 然后把a标签的链接都改为其他URL XSS篡改链接 把代码全复制到XSS反射框框中 然后你随便点底下某一个链接 然后查看源代码 发现链接被替换为attacker了 你也可以用存储型XSS试验 只不过用反射性你在重进一次网站就消失了 而存储型是永久存在 篡改链接指向流量URL 其实就是将刚才attacker链接改为其他的 比如微博链接 篡改链接指向恶意URL 需要用到kali的beef ...
XSS篡改网页链接学习记录
weixin_50597969的博客
04-15 742
XSS篡改网页链接学习记录JS代码讲解XSS篡改链接篡改链接指向流量URL篡改链接指向恶意URL JS代码讲解 window.onload 当窗口加载时,执行匿名函数。 使用for循环遍历所有获得的链接a标签。 <script> window.onload = function(){ var link=document.getElementsByTagName("a"); //获取a标签,由于页面不一定只有一个a标签,link也可是个数组 for(j=0;j<link.length;j
熊海CMS网站SQL注入、XSS攻击、cookie篡改
m0_63917373的博客
11-01 1822
熊海CMS sqlmap工具 SQL注入 XSS cookie篡改
网站被篡改的主要方式有几种?
oldboyedu1的博客
11-22 2894
在日常生活或者工作中,网页篡改是非常普遍的情况,而且我们平时应该都遇到过网页篡改的事情,当你打开一个网页或网站时,发现内容与网站不符合,这种情况就是被篡改了。1、SQL注入后获取webshell:黑客通过web应用程序的漏洞,通过SQL语句提交非法的语句到数据,通过系统以及第三方软件的漏洞获取web的控制权限或者服务器权限。5、确保自己的web应用、中间件、操作系统等始终处于必要的补丁更新状态,避免黑客利用已知漏洞攻击自己的站点。3、务必在开放访问的所有web应用开发阶段使用必要的安全编码规则;
Web-安全渗透全套教程XSS跨.zip
05-22
1. XSS攻击的基本原理:解释了如何通过注入脚本,篡改网页内容,窃取用户的敏感信息,如cookies,会话令牌等。 2. 攻击示例:通过实际案例演示攻击过程,展示XSS攻击的危害性。 3. 漏洞检测:介绍使用工具(如Burp ...
网络安全学习:网络安全学习
02-05
网络安全是信息技术领域中至关重要的一个方面,涉及到网络数据的保护、用户隐私的维护以及系统和服务的稳定性。在当今数字化的世界中,...无论是对于个人还是企业,提升网络安全意识和能力都是保护自身利益的必要步骤。
明小子 网页 注入
04-14
网页注入是一种常见的网络安全攻击手段,通常发生在Web应用程序中。攻击者通过向网页输入特定的代码或指令,以篡改数据库信息、控制...同时,了解并学习网页注入的相关知识,对于提高网络安全意识和防护能力至关重要。
新疆广电网络Web站点信息安全探究.pdf
11-07
随着互联网的快速发展,人们的工作、学习和生活方式发生了巨大变化,但随之而来的是各种网络安全问题,包括信息泄露、信息污染、未经授权的信息流动等。这些问题不仅威胁到个人权益,还可能对国家利益和社会公共利益...
XSS攻击的简单实现
热门推荐
hxxjxw的博客
04-28 2万+
xss 跨站脚本攻击(Cross Site Script) ①在慕课网跟着教学视频自己编写一个网页 ,用这个网页模拟有XSS漏洞的网站。 在网页源码中插入了这样一句话。 这句话的作用其实是:显示一个搜索框。将搜索框中显示的内容是你用户输入之后的内容。 通过看网站源码,我们可以知道,他让用户在显示框输入一个内容,然后就把这个内容当做显示框内容显示。 ...
什么是 XSS 攻击?如何防范
narukeu的博客
07-01 433
跨站脚本攻击(XSS)是一种常见的网络安全威胁,它允许恶意攻击者在受害者浏览器中注入并执行未经授权的脚本代码。这些脚本能够盗取敏感信息、操控网页内容或模拟用户行为,严重威胁用户数据安全及网站信誉。
XSS 攻击是什么?如何防护?
weixin_64684095的博客
07-02 284
跨站脚本攻击,是一种很常见的网络安全威胁。它允许攻击者在目标浏览器中注入恶意脚本代码。这些恶意脚本会执行多种非法操作。比如盗取你的 cookie,会话信息,篡改网页内容,重定向到别的恶意网站。控制浏览器的一些行为。严重危害了用户的数据安全。
ctfshow-xss(web316-web330)
m0_72125469的博客
07-03 1098
web317讲解相当细致精致练习XSSweb316这道题估计陆陆续续弄了半天 因为xss可以说基本不会 还好最终彻彻底底明白了首先这道题是反射性xss 也就是必须点击某一个xss链接 才能达到xss效果这道题的意思就是 写一个祝福语生成链接发送给朋友 这个祝福语的位置就是我们实现XSS的位置已知:flag在BOT(程序,机器人)的cookie中并且 生成的链接后端BOT会每隔一段时间访问所以 要构造一个含有XSS的链接 使得管理员只要访问就能获取BOT的cookie。
昇思MindSpore学习笔记2-01 LLM原理和实践 --基于 MindSpore 实现 BERT 对话情绪识别
muren的专栏
07-02 990
通过识别BERT对话情绪状态的实例,展现在昇思MindSpore AI框架中大语言模型的原理和实际使用方法、步骤。
JMH320【亲测】【御剑九歌】唯美仙侠手游御剑九歌+WIN学习手工端+视频教程+开服清档+运营后台+授权GM物品充后台
最新发布
m0_71430218的博客
07-05 338
JMH320【亲测】【御剑九歌】唯美仙侠手游御剑九歌+WIN学习手工端+视频教程+开服清档+运营后台+授权GM物品充后台
下载有xss漏洞网页源码
07-07
对于下载含有XSS漏洞的网页源码,首先要明确XSS(跨站脚本攻击)是一种常见的网络安全漏洞,攻击者通过注入恶意脚本代码,使用户在浏览网页时受到攻击。 为了下载含有XSS漏洞的网页源码,我们可以按照以下步骤操作: 1. 确定目标网页:首先,需要明确要下载的网页具有XSS漏洞。通常,这需要通过漏洞扫描工具或者手动分析目标网站的源码来判断。 2. 搭建测试环境:为了避免网站的实际访问影响到我们的操作,我们可以搭建本地测试环境。使用Web服务器软件(如Apache、Nginx等)和相应的网页源码托管目录,搭建一个本地网站。 3. 复制目标网页:在搭建的本地测试环境中,通过浏览器访问目标网页,并将其完整的HTML源码复制下来。 4. 编辑源码:使用文本编辑器打开复制的HTML源码文件,并进行相关修改。由于涉及到安全漏洞,建议仅用于学习、研究和测试目的,并遵守法律法规。 5. 保存并访问:保存修改后的源码文件,并重新启动搭建的本地测试环境。通过浏览器访问本地测试环境中的网页,即可下载含有XSS漏洞的网页源码。 需要提醒的是,下载、分析和利用网页源码是一个需谨慎对待的行为。未经授权或滥用此技术可能会导致法律责任。因此,在进行任何相关活动之前,请确保了解相关法律法规,并获得相关授权和许可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值