kali渗透学习-Web渗透XSS(一)

最新推荐文章于 2024-05-08 02:24:13 发布
最新推荐文章于 2024-05-08 02:24:13 发布
阅读量575 收藏 1
点赞数
分类专栏: xss和csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43239236/article/details/107476335
版权
本文介绍了XSS(跨站脚本攻击)的基本原理、常见类型及利用方式,包括JavaScript的使用、HTML注入、反射型与存储型XSS。攻击者通过注入恶意脚本,控制用户浏览器,实施重定向、窃取Cookie、篡改页面等攻击。防御XSS的关键在于服务器端对用户提交数据的严格过滤。
摘要由CSDN通过智能技术生成

XSS
xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户浏览器的控制。漏洞存在于服务器端,攻击对象为WEB客户端。【原理:为了使用户体验更好等因素,有部分代码会在浏览器中执行】

【JavaScript详解】:与java语言无关;命名完全出于市场原因,是使用最广的客户端脚本语言

使用场景:针对以下几个点位注入

直接嵌入html:<script>alert('XSS')</script>

元素标签事件:<body onload=alert('XSS')>

图片标签:<img src="javascript:alert('xss');">

其他标签:<iframe>,<div>,<link>

DOM对象【文本对象模型】,篡改页面内容

可实现攻击方式:

1、盗取cookie【若浏览器正在登录状态】

2、重定向到特定站点【可做钓鱼也页面】
  
3、可以诱导大量客户端去访问站点 造成ddos攻击

常用的客户端脚本语言:JavaScript,VBScript,Activex&#x

最低0.47元/天 解锁文章
唐吉可黄
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kali Linux自带webshell的使用
汗的博客
03-31 6707
大家都比较喜欢用菜刀、蚁剑、冰蝎这类图形化webshell管理工具,但是webshell的知识还是要有的,比如反弹常用的webshell。我简单介绍一下kali自带的反向webshell Kali自带webshell目录: /usr/share/webshells/ 可以看到有asp、aspx、jsp、perl、php等类型webshell 主要谈谈反弹的phpwebshellphp-rever...
Kali工具-webshell之weevely
liwangjin0116的专栏
03-29 714
kali中常用的webshell工具-weevely,可以对网站的文件上传漏洞进行测试。
Kali自带的webshell客户端
Yale的博客
12-26 3302
0x01 第一个要介绍的是webacoo。 webacoo旨在通过HTTP在客户端和web服务器之间提供类似隐形终端连接。它是一个后渗透利用工具,能够维持对已被拿下的web服务器的权限访问。WeBaCoo可以绕过最新的AV,NIDS,IPS,网络防火墙和应用防火墙的检测,能够在被拿下的服务器中悄无声息的执行系统命令。 首先使用-h看看用法 简单的翻译如下: -g Generate bac...
Kali Linux-网络安全之-XSS 跨站脚本攻击原理及 DVWA 靶机的搭建_kali实验xss攻击
最新发布
2401_84296945的博客
05-08 723
点创建数据库后, 等待 10 秒,就可以安装成功 DVWA 了。到此安装成功 DVWA。创建一个快照。安装好 sqli-libs 和 DVWA 靶机环境我们将安全级别调到 LOW,方便从基础开始学习
web渗透测测试(sqlmap)
m0_58713554的博客
12-24 3316
通过分析靶机JLS02页面信息,寻找漏洞页面,将WEB服务存在SQL注入漏洞的页面名称作为Flag提交 Flag:index2.php 通过本地PC中的渗透测试平台KALI2020对靶机进行SQL注入攻击,获取靶机的数据库信息,将用来存放WEB服务的数据库名称作为FLAG提交 先随便输入点什么 sqlmap这个地址 sqlmap 使用注入语句结果如下 flag:webiu 3. 通过本地PC中的渗透测试平台KALI2020对靶机进行SQL注入攻击,获取靶机的数据库信息,将用...
Kali网络渗透测试实验三——XSS和SQL注入
qq_45746876的博客
11-24 3339
XSS和SQL注入前言实验目的系统环境:Kali Linux 2、Windows ServerXSS部分:利用Beef劫持被攻击者客户端浏览器实验环境搭建1.利用AWVS扫描留言簿网站,发现其存在XSS漏洞2.Kali使用beef生成恶意代码3.访问http://留言簿网站,将恶意代码写入网站留言板4.管理员登录login.htm,账号密码均为admin,审核用户留言5.回答问题SQL注入部分:DVWA+SQLmap+Mysql注入实战sqlmap语法参考1.注入点发现2.枚举当前使用的数据库名称和用户名3
kali-linux-web-pentest-cookbook
11-21
Kali Linux Web Penetration Testing Cookbook》是一本专注于利用Kali Linux进行Web应用渗透测试的专业技术书籍。Kali Linux,前身为BackTrack,是全球安全研究人员广泛使用的开源操作系统,特别设计用于网络安全...
Web-Penetration-Testing-with-Kali-Linux-Third-Edition-源码.rar
10-10
Web渗透测试实战:使用Kali Linux第三版》是一本深入探讨网络安全领域的专业书籍,其源码rar压缩包包含了丰富的实践教程和工具资源。通过学习和研究这些源码,我们可以深入了解Web应用的安全检测方法和Kali Linux...
渗透安全面试题库-v3.pdf
08-10
1. **信息收集**:这是渗透测试的第一步,包括域名Whois信息收集、服务器旁站和子域名搜索、操作系统和Web中间件识别、IP端口扫描和漏洞探测、网站目录结构扫描以及Google Hack技术来获取网站的更多信息。...
Kali Linux渗透测试(安全牛).txt
04-17
├─第13章 Web渗透 │ 任务071:HTTP协议基础.mp4 │ 任务072:扫描工具-Nikto.mp4 │ 任务073:vega.mp4 │ 任务074:skipfish.mp4 │ 任务075:w3af.mp4 │ 任务076:w3af-身份认证.mp4 │ 任务077:w3af-截断....
XSS漏洞(xss_and_mysql_file靶场实战)——渗透day10
qq_62716256的博客
09-07 1998
XSS漏洞(xss_and_mysql_file靶场实战)——day10
小白学习kali linux day5(XSS漏洞学习
Build20的博客
05-29 608
上图的beef-xss打开失败,可以给kali换源,执行vim /etc/apt/sources.list,再分别执行sudo apt-get update和sudo apt-get upgrade两个命令,我换的阿里源。然后执行apt remove beef-xss把beff-xss卸载,再apt-get install beef-xss执行重装。若忘记密码,则查看其配置文件:vim /etc/beef-xss/config.yaml /之后启动beef工具:绿色框框里为beef密码,可以为123.
Kali beef-xss实现Xss详细教程。
sunwanfulove的博客
09-28 3442
Kali beef-xss实现Xss详细教程。
网络安全:Kali Linux 进行SQL注入与XSS漏洞利用
cronaldo91的博客
03-27 1735
(3) 查看Kali Linux (2022.4)系统IP地址。(2)查看Kali Linux (2022.4)系统版本。(5)Kali主机 ping Windows主机。(14)Windows主机弹出登录界面。(7)获取当前数据库指定的表的字段名。(4)Windows 查看IP地址。(6)获取当前数据库中所有表的名称。(8)获取指定库指定表指定字段的值。(1) LAMP(LNMP)平台。执行 (选择Execute)(15)beef获取账号及密码。(5)启动beef-xss。(9)beef获取目标主机。
xss利用之kali神器beef
热门推荐
jiangliuzheng的专栏
07-14 3万+
1、beef基本配置 BeEF在Kali下默认安装,直接找到对应图标启动即可,但是默认设置未同Metasploit关联,无法使用msf模块,因此需要作如下配置连接msf 1、修改config.yaml 编辑 /usr/share/beef-xss/config.yaml metasploit: enable: false改为true 编辑 /usr/
网络攻防之——kali中的其他扫描工具
The__Apollo的博客
03-26 2万+
Golismerogolismero含有多种插件,输入如下命令可以查看插件列表 使用scan命令扫描靶机,如下 Nikto.plNikto是一款开源的网页服务扫描器,它可以对网页服务进行多种扫描。用如下命令可以扫描靶机 扫描出的漏洞信息如下 Lynis系统信息收集整理工具这个工具是对Linux详细配置等信息进行枚举收集,生成易懂的报告文件,使用如下 为了避免交互,可以在末尾添加
Kali渗透测试之DVWA系列4——反射型XSS(跨站脚本攻击)
浅浅的博客
05-11 3947
目录 一、XSS 1、XSS简介 2、XSS类型 3、漏洞形成的根源 二、反射型XSS 1、原理示意图​ 2、实验环境 3、实验步骤 安全级别:LOW 重定向 获取cookie 安全级...
Kali Linux-网络安全之-XSS 跨站脚本攻击原理及 DVWA 靶机的搭建
xueshenlaila的博客
12-31 1340
XSS 跨站脚本攻击 使用 JavaScript 创建 Cookie JavaScript 可以使用 document.cookie 属性来创建 、读叏、及删除 cookie。 例 1:JavaScript 中,创建 cookie 如下所示: document.cookie=“username=John Doe”; 例 2:你还可以为 cookie 添加一个过期时间(以 UTC 戒 GMT 时间)。默认情况下,cookie 在 浏览器关闭时删除: document.cookie=“username=John
2021Kali系列 -- XSS漏洞(Beef-xss
weixin_41489908的博客
04-14 1926
​当我不欠任何人的时候,我就只欠我自己了。。。 ----网易云热评 一、安装beef-xss 输入beef-xss,提示安装,输入y 二、启动beef-xss 三、访问登陆页面: http://192.168.139.133:3000/ui/panel 四、让目标主机访问存在生成的钩子代码 http://192.168.139.129:81/dvwa/vulnerabilities/xss_r/?name=<script src="http://192.168.139.1.
web安全之kali-xss-beef剑心哥哥
12-24
Kali Linux是一种用于网络安全测试和渗透测试的操作系统,它具有强大的工具和功能,可以用于检测和解决网站的安全漏洞。XSS(跨站脚本攻击)是一种常见的网络安全漏洞,可以通过在网页中插入恶意脚本来获取用户的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值