web登录页面代码_XSS实战之登录钓鱼网站后台

最新推荐文章于 2024-05-05 15:09:27 发布
最新推荐文章于 2024-05-05 15:09:27 发布
阅读量2.5k 收藏 7
点赞数
文章标签: web登录页面代码 xaml修改后台代码的值

前言

感觉最近被盗号的很多,好朋友账号被盗,我竟然傻乎乎的转了200大洋9c03eac34a3716654bbec2bb9cb1e86b.png。本篇就以钓鱼为主题,只是让大家提升一下对盗号的认识和理解,让大家对于钓鱼盗号有所防范。

XSS漏洞

之前写过一篇文章讲解XSS漏洞分类以及危害,XSS是跨站脚本攻击,属于被动式的攻击。XSS指的是恶意攻击者往Web页面里插入恶意代码,当用户浏览该页之时,嵌入其中Web里面的恶意代码会被执行,从而达到特殊目的。最常见的就是盗用cookie,获取敏感信息。

本文还原一下攻击过程,这也算是Web渗透里的一种基本操作了。

钓鱼网站

我在本地搭建了QQ钓鱼网站:

c9451ce0ad0b528cd8a41e4faf682055.png

我们使用常规的扫描攻击可以扫描出这个QQ钓鱼网站的后台,这里就不做演示了。

本地搭建的后台地址

127.0.0.1/QQ/admin/login.php

最低0.47元/天 解锁文章
weixin_39974882
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
怎么使用input执行xss攻击_XSS场景及修复方案总结
weixin_32562973的博客
01-16 4611
xss原理跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意javaScript代码,当用户浏览该页之时,嵌入其中Web里面的javaScript代码会被执行,从而达到恶意攻击用户的目的。xss分类反射型存储型DOM型xss场景和防御1. 恶意数据出现在标签内<body> ...恶意数据 </body>漏洞代码Strin...
跨站脚本漏洞
weixin_46729085的博客
09-08 3750
XSS漏洞 一、文章简介 XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,那么很可能就存在XSS漏洞。 这篇文章将带你通过代码层面去理解三个问题: 什么是XSS漏洞? XSS漏洞有哪些分类? 如何防范XSS漏洞? 二:三大分类 反射型XSS:<非持久化> 攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。 存储型XSS:&...
浏览器页面安全-XSS【安全篇】
问白的博客
04-01 752
XSS (Cross Site Scripting),为了与“CSS”区分开来,故简称 XSS,翻译过来就是“跨站脚本”。XSS 攻击是指黑客往 HTML 文件中或者 DOM 中注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。最开始的时候,这种攻击是通过跨域来实现的,所以叫“跨站脚本”。
2024年一个登录框引发的“安全问题”_登录绕过漏洞修复建议,2024年最新网络安全ui基础
最新发布
2401_84520377的博客
05-05 872
不使用前端校验,严格校验用户的数据。
Input XSS最新漏洞及利用
06-12
我们知道,如果要使XSS能够实现,我们的代码必须通过某种方式嵌入到对方的网页中。像注入漏洞的“’”、“and 1=1”和“and 1=2”一样,Input XSS也有自己的漏洞检测字符串,它们就是“<>”、“<iframe>”和 “<script>alert(/xss/)</script>”。如果当你在Input框中输入“<>”,并在新 页面的源代码中找到这对标签的话,那么基本上就说明它存在Input XSS漏洞;而“<iframe>”则是它的可视化检测方式;如果“<script>alert(/xss/)< /script>”能够实现,则证明该页面可以实行脚本攻击,但是否可以被插入脚本,在本次的测试里亦不是非常重要,后面你将会知道。
xss注入
qq_63267612的博客
07-03 1464
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户目的。 XSS危害:XSS分类测试管理界面是否存在XSS: 在用户名框中输入">(闭合input标签) 结果,界面弹窗,证明该系统存在XSS注入 上一步验证得出,该页面存在XSS漏洞。接下来针对该漏洞
不可见(hidden)input标签触发XSS
weixin_33963594的博客
12-29 1159
在寻找XSS的过程中,会发现从POST或者URL中参数拿到INPUT中存放,但这些input都是hidden不可见的,通过F12调试,查看构造出来的代码确实存在点击事件,但是总是触发不了 通过网上查询资料,最总找到使用一个比较高级一点属性accesskey=""来触发不可见标签事件,accesskey是HTML语言标签中的一个全局属性 <input type="hidden" name="...
web漏洞之XSS_TEST漏洞实践练习代码
04-25
web漏洞之XSS_TEST漏洞实践练习代码,下载解压后可直接使用。
通过代码审计找出网站中的XSS漏洞实战
02-24
反向审计打蛇打七寸,说明在关键位置做事效率会更高,代码审计找出漏洞也是同理,因此笔者需要找出XSS关键的位置;对于目前的大多数Web应用来说,MVC模式是非常主流的一种形式,因此笔者这里将找到对应的控制器和模板...
XSS利用与挖掘-_更新版.rar_Exploit_XSS_XSS 利用_pkav_web exploit
09-23
业界大佬PKAV总结的xss的常见利用方法,可以说是比较全面的Web XSS利用方法
XSS_Rays.zip_XSS Rays 下载_tool_xss扫描_xss扫描器_漏洞扫描
09-22
它的调用方式也特别,在要测试的页面输入javascript:等代码引入JS就好了,然后由引入的JS负责抓去url和测试。 这种思路非常值得学习。小规模单兵作战可以,大规模的话估计效率不高。当然,我觉得要解决DOM XSS最终...
Hidden属性的input标签中XSS的触发方法
一生无悔惜缘的博客
08-18 8861
今天看到一个XSS漏洞,插入点在一个有hidden 属性的input 标签,大致情况如下: input type="hidden" name="returnurl" value="[USER INJECT]" />11 正常情况下的XSS应当是: http://victim/?value=” onclick=”alert(document.domain) 但是这里由于该
【应用安全——XSS】input-hidden
Fly_鹏程万里
02-22 778
1、使用expression突破 &lt;input type=hidden style="x:expression(alert(/xss/))"&gt; 直接利用CSS的expression属性来实现突破,此技巧适用于IE6及以下的浏览器。 2​、使用accesskey突破 &lt;input type="hidden" accesskey="X" onclick="alert(/x...
怎么使用input执行xss攻击_萌新向 | 输入框因何频受攻击?
weixin_32401075的博客
01-08 2969
萌新向XSS漏洞导言:我们决定特别建立一个专辑,以帮助没有基础的人快速入门。该专辑与同样分为Web与二进制两项,但与公众号的专辑区别在于,我们将着重引导新生入门,讲述最简单、最基础的知识,事无巨细地讲述相关知识点与操作,即使你对计算机一无所知,我们也相信,你能跟随着我们的文章,满足你之前对于安全的一些想象。如果你对安全一无所知却又非常感兴趣,那么,我们的文章将会是你入门的最佳选择。我们的...
XSS注入测试
qq_35544011的博客
02-01 984
XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网站,携带木马等。作为测试人员,需要了解XSS的原理,攻击场景,如何修复。 才能有效的防止XSS的发生。 XSS 是如何发...
登录界面——渗你千千万万遍
m0_51581045的博客
04-20 6821
小菜鸡分享自己遇见登录界面的渗透测试思路,欢迎大佬们分享思路
input禁止输入html转义字符串,xss 防止攻击,恶意用户将输入的信息当成html或js代码执行,办法是将用户输入的信息改为text格式,或特殊符号转义...
weixin_39655689的博客
06-07 1068
xss 防止攻击,恶意用户将输入的信息当成html或js代码执行,办法是将用户输入的信息改为text格式,或特殊符号转义XSS攻击的防范XSS攻击造成的危害之所以会发生,是因为用户的输入变成了可执行的代码,因此我们要对用户的输入进行HTML转义处理,将其中的尖括号,引号,单引号等特殊字符进行转义编码,例如“〈”转义后为“&lt;”,“>”转义后为“&gt;”,“‘”转义后为“...
渗透测试XSS跨站漏洞input输入js特殊字符过滤
a1604914398的博客
05-09 5579
修复建议:建议对用户得输入与输出进行过滤,过滤一些比较危险得标签和关键字,如<script></script>、alert等 代码如下:在input输入框加入onblur事件;定义onblur="checkText('id',this.value)";id为文本框DOMid属性 //验证文本框输入特殊字符 function checkText(id,text){/...
html 中 textarea input 的输入、存储、显示 与 xss 防御
张圣晨的博客
01-15 2466
html 中 textarea input 的输入、存储、显示 与 xss 防御。需求如下: 存储用户在 textarea input 中输入的原始数据(非转义后的数据),并可以正确显示,同时要避免 xss 攻击。 存在的问题:使用 div 显示数据时,标签会被错误解析,同时会遭到 xss 攻击。为了避免 xss 攻击,通常的做法是修改用户输入的数据,如将 &amp;lt; 修改为 &amp;amp;l...
一起打靶-Breach-2-final2.1.xss上线
09-28
一起打靶-Breach-2-final2.1.xss上线

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值