存储型XSS
存储型XSS(持久型XSS)即攻击者将带有XSS攻击的连接放在网页的某个页面,例如评论框等;用户访问此XSS链接并执行,由于存储型XSS能够攻击所有访问此页面的用户,所以危害极大。
手工(低安全级别)
1.攻击1
攻击1 弹框警告:渗透机kali Linux端操作
text1
<script>alert('yangge')</script>
提交后弹框‘yangge’
http://192.168.122.129/dvwa/vulnerabilities/xss_s/
以后只要用户点击 ‘XSS stored’ 进入该页面就弹框警告。
肉鸡win7操作:
2.攻击2
攻击2 获取cookie:渗透机Kali Linux端此操作
1>构建收集cookie服务器
2>构造XSS代码并植入到web服务器
3>等待肉鸡触发XSS代码并将cookie发送到Kali Linux
4>Cookie利用
(1)构建收集cookie服务器 --Kali Linux
1)在Kali上启动Apache服务器
root@kali:~# service apache2 start
2)构建XSS代码