XSS平台传输原理

最新推荐文章于 2024-04-24 21:39:31 发布
最新推荐文章于 2024-04-24 21:39:31 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: 网页 文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43821663/article/details/88764745
版权

前言:抽个时间,查看了一下自己搭的XSS平台(项目来源)传输数据的原理,究竟是怎样盗取cookie

生成一个盗取cookie的cookie.js

在这里插入图片描述

分析源码

在这里插入图片描述
在这里插入图片描述

  • cookie.js创建一个预加载对象,带着你的cookie等一些数据去访问服务器(xss平台)
  • index.php接受你传过来的数据

测试

在这里插入图片描述

  • 抓包,查看数据
    在这里插入图片描述

总结

  • 在能插入js代码的网页,插入恶意链接,利用该网站的身份发出请求,盗取用户在该网站的数据
  • 除此之外,xss还可以做很多东西,
71aoo
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
网络安全简答题 2.docx
11-09
2、什么是XSS攻击,有哪些类型。 3、什么是CSRF攻击 4、什么是文件上传漏洞 5、DDos攻击 6、重要协议分布图 7、arp协议的工作原理,APR安全问题。 8、DOS攻击 9、dns是什么?dns的工作原理 10、rip协议是什么?rip的...
-----已搬运-----反射型xss获取cookie(本地实现)
Zero_Adam的博客
02-17 1997
目录:1.最简单的反射性xss获取cookie注意!!!! 1.最简单的反射性xss获取cookie <?php // Is there any input? if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { // Feedback for end user echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>'
XSS结合JSONP获取网站访客社交账号信息
weixin_30265103的博客
04-29 1010
  我在本地环境搭建了一个WordPress网站,并在该网站中植入JavaScript文件。如果访客在浏览网站时登录了百度账号,该js文件能够利用JSONP获取网站访客的百度账号信息。 具体情况如下: 1、首先修改WordPress的footer.php文件,引入2个外部JavaScript文件。第一个是jQuery库,第二个是jsonp代码。在实际渗透中,如果该网站存在存储型XSS漏洞,我们...
XSS-Demo: 一款深入了解和实践跨站脚本攻击的安全学习平台
gitblog_00077的博客
03-27 416
XSS-Demo: 一款深入了解和实践跨站脚本攻击的安全学习平台 项目地址:https://gitcode.com/haozi/xss-demo XSS-Demo 是一个开源项目,旨在为安全专业人员、开发者及网络安全爱好者提供一个实践和理解跨站脚本(Cross-Site Scripting, 简称XSS)攻击的平台。该项目通过各种示例展示了不同类型的XSS漏洞,帮助用户更好地预防和解决这类常见的W...
存储xss实现获取cookie(本地实战)
2301_80661529的博客
02-28 485
实战结束留言:如果你拥有自己的网站以及服务器,本地实战就在你自己的服务器上实战即可,不过此处的IP地址也要跟着变化,不变化其实也行,但是改了更有实战的感觉,然后进入dvwa靶场(security=low),(stored xss)那关,留言写入如下payload。然后到我们写的xss.php文件的目录下,会有一个cookie.txt文件,上面就会记录cookie及其IP。在此祝你们学习顺利!
XSS通关实战
m0_55563900的博客
03-10 331
XSS基础 跨站脚本(Cross -Site Scripting,简称为XSS或跨站脚本或跨站脚本攻击)是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。它允许恶意用户将代码注入网页,其他用户在浏览网页时就会受到影响。恶意用户利用XSS代码攻击成功后,可能层到很高的权限(如执行一些操作)、 私密网页内容、 会话和cookie等各种内容。 XSS攻击可以分为三种:反射型、存储型和DOM型。 反射型 反射型XSS又称非持久型XSS,这种攻击方式往往具有一次性。、 攻击方式:攻击者通过电子邮件等方式将包
渗透测试 2 --- XSS、CSRF、文件上传、文件包含、反序列化漏洞
墨鱼菜鸡
07-11 2883
1、渗透测试 实用 浏览器插件 chrome、edge 插件:搜索 cookie,安装 cookie editor,打开插件,可以 导出 cookie HackBar :Hackbar是网络安全学习者常备的工具 (https://www.fujieace.com/hacker/tools/hackbar.html )。 ​解决Firefox插件-H...
xss脚本攻击获取用户cookie信息存储到本地
Lancis的博客
07-09 440
首先准备一个获取cookie的asp脚本 <html> <title>test</title> <body> <%testfile = Server.MapPath("code.txt") msg = Request("msg") set fs = server.CreateObject("scripting.filesystemobject") set thisfile = fs.OpenTextFile(testfile,8,True,0) th
【复习】XSS的种类和本地读取cookie
qq_45300786的博客
05-22 278
xss类型: 反射:难以利用,所以危害低,但是会与后台交互,利用好话可以实现高危 存储:与后台交互,将恶意代码插入数据库,用户访问网页,会读取数据库内容,就会执行恶意代码,高危 Dom :算是反射型的一种,不会与后台进行交互,利用的document节点进行配合实现漏洞触发 (doom型是利用document节点进行动态交互,产生xss) 默认火狐是不能执行这种domxss因为火狐会把urd上面的字符串进行编码 在ie里面默认不编码但是要关闭XxSS过滤器方可执行 实操(搭建本地xss平台
Web漏洞-XSS平台简介-相关知识点补充(cookie与session)
ran的博客
03-14 1762
首页(注册)。成功注册后的主页。按照如下路径填写相关信息后点击下一步。之后会返回项目相关的功能。勾选默认模块后点击下一步。点击下一步后,平台会为你创建一个项目。下滑后可以看到平台生成的测试语句。这里我们引用平台生成的最后一条语句。输入网站内的对应位置后点击提交。可以看到成功提交了。来到管理员界面可以看到查看留言的位置。点击进入查看后便发现网站弹出了一个弹窗,说明网站成功执行了js代码。
手把手教你搭建XSS平台
热门推荐
seek_2022的博客
05-05 1万+
出于学习和技术分享的目的研究了一下XSS平台搭建的方法,由于网络上的教程虽然很多,但是对于很多细节的讲解不够深入,现将XSS平台搭建方法分享给大家。
搭建属于自己的xss平台
m0_60716947的博客
05-03 1万+
一、什么是打 cookie 简单来说就是:在你访问的页面上执行了一次JS代码,这次代码的执行后可以获取你当前已经登录某个网站的cookie ,并将该cookie 发送到攻击者指定的网站,攻击者利用你的cookie 登录你的账号。 攻击者用来接收cookie 的平台就叫做xss 平台,在网上其实有很多这种平台,但其实有的平台存在黑吃黑的现象(懂得都懂),而且有很多渗透测试任务都是保密的,不可能去第三方网站。 二、cookie 接收平台 这里推荐一个平台,BlueLotus_XSSReceiver
Python编程之极速入门
05-29
这一部分,集中在网络协议解析,网络层和传输层数据包捕获和注入。网络协议是网络安全的基础,本部分开篇会首先讲解下TCP/IP体系结构的基本概念,在理解协议的基础上理解代码和程序是如何描述网络协议的,如何利用...
信息安全工程实验报告(附HOOK源码)
07-01
实验一 网络安全漏洞扫描与风险评估 实验二 数据备份、计划作业与文件恢复 实验三 Windows服务管理与注册表...实现原理:使用ctypes模块进行键盘输入信息钩取,然后通过TCP通信将钩取到的信息传输到攻击机然后保存。
Guns 技术文档 旗舰版v2.3.pdf
02-13
3.5.3 获取前端表格插件传值 3.6 数据范围 3.6.1 介绍 3.6.2 如何使用 3.6.3 原理 3.7 guns-rest模块的使用 3.7.1 关于jwt鉴权 3.7.2 关于传输数据的签名 3.7.3 guns-rest模块的运行流程 3.7.4 运行原理 3.8 工作流 ...
网站架构技术
10-09
减少cookie传输, 静态资源使用独立域名访问 CDN加速 反向代理 应用服务器性能优化 分布式缓存 缓存的原理 合理使用缓存 频繁修改的数据 没有热点的访问 数据不一致和脏读 缓存可用...
云服务器搭建XSS-platform、DVWA靶机和Permeate论坛
weixin_44371842的博客
04-24 521
我发现目前网上的xss-platform的搭建教程都是基于本地搭建的,这样搭建好的xss平台只能在本地使用,无法测试别的网站。而网络上的大部分xss平台又几乎都是收费的,所以写这篇博客记录一下在服务器上搭建xss-platform的过程,并且顺带搭建了DVWA靶机和一个网络安全论坛。这次部署一共有三个系统,分别是xss-platform,dvwa靶机系统和permeate论坛。
Web前端安全问题分类综合以及XSS、CSRF、SQL注入、DoS/DDoS攻击、会话劫持、点击劫持等详解,增强生产安全意识
JINGWHALE
04-22 1161
本文介绍了Web前端安全问题分类综合以及XSS、CSRF、SQL注入、DoS/DDoS攻击、会话劫持、点击劫持等详解,增强生产安全意识。Web前端作为与用户直接交互的界面,其安全性问题直接关系到用户体验和数据安全。近年来,随着前端技术的快速发展,Web前端安全问题也日益凸显。因此,加强生产安全意识,深入理解并防范前端安全问题,对于保障整个Web应用的安全性至关重要。
Markdown学习笔记
最新发布
04-30
Markdown学习笔记
XSS跨站脚本攻击危害、攻击原理、常用工具、防御策略
04-03
XSS(Cross-site scripting)跨站脚本攻击是一种常见的Web安全漏洞,它允许攻击者在受害者的浏览器中注入恶意脚本,从而窃取用户的敏感信息,或者执行其他的恶意行为。 危害: 1. 盗取用户的Cookie和Session等敏感信息,以便进行身份欺骗。 2. 窃取用户的个人信息,如用户名和密码等。 3. 在受害者的浏览器中执行恶意脚本,从而攻击其他网站或者发起DDoS攻击。 4. 篡改网站的内容,使用户产生误解或者损失。 攻击原理: 攻击者通过注入恶意脚本来利用网站的漏洞,从而在受害者的浏览器中执行恶意脚本。攻击者可以通过以下方式进行攻击: 1. 通过URL注入:攻击者在URL中注入恶意脚本,当用户访问该URL时,脚本就会在用户的浏览器中执行。 2. 通过表单注入:攻击者在表单中注入恶意脚本,当用户提交表单时,脚本就会在用户的浏览器中执行。 3. 通过Cookie注入:攻击者在Cookie中注入恶意脚本,当用户访问网站时,脚本就会在用户的浏览器中执行。 4. 通过DOM注入:攻击者在网页中的DOM节点中注入恶意脚本,当用户浏览网页时,脚本就会在用户的浏览器中执行。 常用工具: 1. XSSer:一款功能强大的XSS渗透测试工具,可以自动化执行XSS攻击。 2. BeEF:一款浏览器漏洞框架,可以将浏览器作为攻击的一部分,实现XSS攻击和其他浏览器相关的攻击。 3. XSStrike:一款自动化的XSS测试工具,可以识别漏洞并生成有效的攻击载荷。 防御策略: 1. 输入过滤:对用户输入的数据进行过滤,使其不包含特殊字符和脚本代码。 2. 输出转义:对输出到页面的内容进行转义,将特殊字符转换为HTML实体,从而防止恶意脚本的注入。 3. 使用CSP:通过限制网站可以加载的资源,如脚本、样式表和图片等,来防止XSS攻击。 4. 使用HTTP-only Cookie:将Cookie标记为HTTP-only,使其只能通过HTTP协议传输,从而防止通过JavaScript访问Cookie。 5. 随机化Cookie:在Cookie中添加一些随机的信息,使攻击者无法猜测和伪造Cookie。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值