XSS-Proxy

最新推荐文章于 2023-08-10 10:39:38 发布
最新推荐文章于 2023-08-10 10:39:38 发布
阅读量515 收藏
点赞数
文章标签: javascript ViewUI

关于XSS(cross site scripting),相信对此有过研究的人已经感受到了它的“魅力”,权威机构也公布了最近的安全数据,xss已经上升为第二大网络安全隐患;

于此我想通过此文浅析一下xss-proxy(perl-based)这个工具的具体使用过程,因为现在这个话题好像被互联网发展的势头仍到了“乌托邦”。

一、搭建xss-proxy server

(1)安装activeperl(perl解析器)

(2)修改xss-proxy.pl

这里主要是修改code_server和server_port两个参数,code_server是本地的xss-proxy server服务器域名,我用的是本地地址。

(3)运行xss-proxy.pl

在命令行输入perl <xss-proxy的路径>

‍(4)打开谷歌浏览器(经本人测试,ie9和firefox不支持传输某些格式的文档),输入http://192.168.202.111:8888/admin

第一次打开时,Clients和Eval Results两项是没有内容的,大家如果有兴趣的话可以自己搭建一个网站进行测试。

二、关于xss2.js

(1)showDoc()

 这个函数的功能就是加载当前用户浏览器窗口的内容到iframe,然后将iframe的内容转换成一个不大于2048个字节(URL                 长度限制)的url,并将此url作为对xss-proxy的请求。

(2)scriptRequest()

 每12秒运行一次,用于与xss-proxy server的交互,包括一些javascript evaluate results。

(3)reportError()

 报告错误信息,如Dom对象访问错误等。

三、附件

xss-proxy.pl

xss2.js

‍‍‍

weixin_34184158
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
利用BeEF 执行 XSS 攻击。计算机网络技术二班,阿布都艾尼。
m0_64091527的博客
06-25 138
总之,BeEF是一个非常重要的工具,它不仅能够用于安全测试,在恶意攻击中,也有着重要的应用,可以帮助攻击者完成一些关键性质的操作。BeEF服务器是攻击者的机器,它是BeEF的核心,并通过web界面进行控制和管理。3.加强Web应用安全防范,并使用合适的加密方式: 通过加强Web应用的安全性设置,防范XSS等攻击,使用合适的加密方式能够减少BeEF工具对用户造成的危害。2.合法且道德地使用BeEF: 利用BeEF工具进行网络攻击属于违法行为,使用BeEF需要遵守相关的法律法规,且只能在道德合理的情况下使用。
ShardingSphere-Proxy 主从读写 入门使用
github_35735591的博客
12-05 1220
ShardingSphere5.0.0Alpha Proxy的简单示例代码
xss-proxy
cnbird's blog
03-14 982
http://sourceforge.net/projects/xss-proxy
关于XSS Proxy技术
cnbird's blog
06-26 2359
http://ha.ckers.org/xss.html关于XSS Proxy技术关于Cross Iframe Trick的思路。让我想到了曾经看到的关于XSS Proxy的一些文章。Advanced Cross-Site-Scripting with Real-time Remote Attacker Control,精彩之处: 还有一篇关于Advance
关于XSS Proxy技术 .
11-26 92
转自:http://blog.csdn.net/cnbird2008/article/details/4299544 http://ha.ckers.org/xss.html 关于XSS Proxy技术 关于Cross Iframe Trick的思路。让我想到了曾经看到的关于XSS Proxy的一些文章。 Advanced Cross-Site-Scripting with ...
JAVA代码审计XSS及Filter动态代理过滤
最新发布
dzqxwzoe的博客
08-10 1486
最近写了个小玩意儿,主要功能为用户信息管理,例如新增 删除 添加等。但在没写过滤之前,全是xss所以拿出来给大家进行简单分析,后续通过动态代理进行过滤。
identity-obj-proxy:使用ES6代理的身份对象。 对模拟CSS模块之类的webpack导入很有用
04-28
npm install identity-obj-proxy 现实世界的例子等等那是什么意思 tl; dr 对于像这样的React组件 import React , { Component } from 'react' ; import styles from './App.css' ; // CSS Modules here export ...
渗透测试之---xss-labs闯关【1-14关】
qq_43168364的博客
04-18 3006
万能检测语句 <SCRscriptIPT>’”()Oonnjavascript 这条语句将给我们本次的闯关之旅带来极大的帮助 第一关 [Payload:<script>alert(/pig/)</script>] 首先看到了有查询字符串,我们心花怒放了。 先万能检测一下 好家伙啥都没有过滤,那就很easy了 第二关 [payload: ”>&......
service-proxy:使用Java编写的REST和SOAP的API网关
01-28
< serviceProxy xss=removed> < target xss=removed xss=removed> </ serviceProxy> 仅路由路径为/ foo的请求: < serviceProxy xss=removed> < path>/foo < target xss=removed xss=removed> </ serviceProxy>...
前端开源库-system-proxy.zip
10-05
代理库可能包含防止XSS(跨站脚本攻击)和CSRF(跨站请求伪造)的措施,确保数据传输的安全。 8. **API设计**:优秀的前端库应有清晰、易用的API接口,让开发者能够快速上手并灵活使用。 9. **社区支持与文档**:...
分布式 hss
12-26
分布式HSS信令跟踪指导手册,在volte工程中有些帮助作用!
XSS漏洞学习笔记
jazzz98的博客
07-17 444
通常指黑客通过“HTML注入”纂改了页面,插入了恶意的脚本,从而在用户浏览页面时,控制用户浏览器的一种攻击。在一开始,这种攻击的演示案例是跨域的,所以叫“跨站脚本”。但是发展到今天,由于Javascript的强大功能以及网站前端应用的复杂化,是否跨域已经不再重要。但是由于历史原因,这个名字保留了下来。假设一个页面把用户输入的参数输出到页面上:1
常见的Web漏洞——XSS
热门推荐
江左盟的博客
07-08 2万+
目录 XSS简介 XSS原理及分类 反射型XSS 存储型XSS 基于DOM的XSS XSSer的使用 至少有一个的参数: 可选的参数: 检查选项 选择攻击向量 绕过防火墙选项 绕过器选项 特殊技术 最后注入选项 特殊最后注入选项 报告导出 XSSer演示 BeEF-XSS 漏洞的防范 总结 XSS简介 XSS是跨站脚本攻击(Cross Site Scri...
收集了一些XSS攻击平台
软件质量优化
09-16 1万+
Attack APIBeEF  可与Metaspolit整合   http://fuzzexp.org/metasploit-and-beef-the-tutorial-chinese.html   http://www.myhack58.com/Article/html/3/8/2013/36603.htm  http://saysec.diandian.com/post/2012-09-04/
XSS漏洞分析和防御
1ance's blog
05-03 1145
XSS:跨站脚本攻击(Cross Site Script) 形成原因是:未对用户输入的数据做好过滤,导致HTML页面被注入恶意脚本,从而在用户浏览网页时,被攻击者控制用户浏览器(反射一些用户信息如cookie等给攻击者)。 通常利用方法:XSS漏洞一般是通过php的输出函数将javascript的代码(恶意代码)输出到HTML页面,所以XSS漏洞关键是寻找参数未做过滤的输出函数。 php的常用输出: echo print() print_r() printf() sprintf() var_dump()
XSS跨站脚本攻击剖析与防御
Tasfa的博客
10-08 9674
XSS跨站脚本攻击剖析与防御 》读后想法         这几天是把《XSS跨站脚本攻击剖析与防御 》这本书给看完了,有一些想法想分享一下,纯属个人意见,不喜勿喷!         对于新手来说(0基础),我觉得这应该是一本很不错的书,他能够带你全面详细的了解XSS的知识,当然,强烈建议想开始看这本书的人,一定要先把Web基础打扎实再看,特别是javascript和php语言,否则比
xss妙用,快速测试xss漏洞。
椰树ii
05-24 1万+
#介绍# 这篇文章的主要目的是去给应用安全测试者提供一份xss漏洞检测指南。文章的初始内容由RSnake提供给OWASP,从他的xss备忘录:http://ha.ckers.org/xss.html 。目前这个网页已经重定向到我们这里,我们打算维护和完善它。OWASP的第一个防御备忘录项目:the XSS (Cross Site Scripting) Prevention Cheat Shee
XSS攻击平台
积累,在于坚持
01-19 652
1、Attack API 总结了很多能够直接使用的payload,归纳为API的方式。 2、BeEF 演示一个完整的XSS攻击过程,BeEF有一个控制台,攻击者可以在后台控制前端的一切。每一个被XSS攻击的用户都出现再后台,后台控制者可以控制这些浏览器的行为,并可以通过XSS向这些用户发送命令 3、XSS-Proxy 轻量级的XSS攻击平台,通过嵌套iframe的方式可以实时地远程控制被
请帮我翻译 Starting Nmap 7.93 ( https://nmap.org ) at 2023-06-08 15:58 CST Pre-scan script results: | broadcast-avahi-dos: | Discovered hosts: | 224.0.0.251 | After NULL UDP avahi packet DoS (CVE-2011-1002). |_ Hosts are all up (not vulnerable). Nmap scan report for MiWiFi-RA72-srv (192.168.31.244) Host is up (0.026s latency). Not shown: 995 closed tcp ports (reset) PORT STATE SERVICE 80/tcp open http |_http-csrf: Couldn't find any CSRF vulnerabilities. |_http-dombased-xss: Couldn't find any DOM based XSS. |_http-stored-xss: Couldn't find any stored XSS vulnerabilities. | http-slowloris-check: | VULNERABLE: | Slowloris DOS attack | State: LIKELY VULNERABLE | IDs: CVE:CVE-2007-6750 | Slowloris tries to keep many connections to the target web server open and hold | them open as long as possible. It accomplishes this by opening connections to | the target web server and sending a partial request. By doing so, it starves | the http server's resources causing Denial Of Service. | | Disclosure date: 2009-09-17 | References: | https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6750 |_ http://ha.ckers.org/slowloris/ 443/tcp open https |_http-dombased-xss: Couldn't find any DOM based XSS. |_http-csrf: Couldn't find any CSRF vulnerabilities. |_http-stored-xss: Couldn't find any stored XSS vulnerabilities. 631/tcp open ipp 8080/tcp open http-proxy 9100/tcp open jetdirect MAC Address: 6C:02:E0:20:74:2A (HP) Nmap done: 1 IP address (1 host up) scanned in 193.99 seconds
06-09
端口状态和服务如下:80/tcp open http,443/tcp open https,631/tcp open ipp,8080/tcp open http-proxy,9100/tcp open jetdirect。MAC地址为6C:02:E0:20:74:2A(HP)。HTTP扫描结果:|_http-csrf:找不到任何...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值