【第七周作业】XSS2

最新推荐文章于 2024-08-14 09:30:00 发布
最新推荐文章于 2024-08-14 09:30:00 发布
阅读量253 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44722125/article/details/89166157
版权
本文介绍了XSS攻击的不同类型,包括GET和POST方式下的利用,以及钓鱼案例和键盘记录实验。通过W3school教程,详细讲解了如何获取及利用cookie,展示了设置恶意站点和利用存储型XSS漏洞获取用户信息的过程。同时,讨论了跨域问题及其在XSS攻击中的影响。
摘要由CSDN通过智能技术生成

W3school在线教程
http ?/www.w3school.com.cn/

cookie 获取及XSS后台使用

xss如何获取cookie
在这里插入图片描述

使用后台
pikachu-管理工具-安装
在这里插入图片描述

登陆成功
在这里插入图片描述

先点cookie收集

用户执行了我们的url后,url里面的js的代码就会在浏览器端执行获取cookie,然后把cookie发给后台,后台需要有接受数据的接口。

获取用户本地的cookie然后发送到xss后台
测试一下
做一个重定向,也就是 一旦他访问这个页面,jsp代码就会去访问1.15,访问时顺便会把cookie带过去,通过document.cookie实例来获取本地cookie,
在这里插入图片描述

提交之后跳到首页
看抓到的cookie

emmmmm被拦截了

最低0.47元/天 解锁文章
汉堡阿汉堡
关注
学习笔记——今天突然迷上了xss2
牟先生的学习博客
07-27 207
XSS Challenges:地址 0x00 <script>alert(1)</script> 0x01 </textarea><script>alert(1)</script> 0x02 "><script>alert(1)</script><img src=" 0x03 括号被过滤,用反引号绕过 <script>alert`1`</script> 0...
XSS (2)
qq_41007744的博客
05-15 574
XSS利用方式Cookie窃取攻击XSS攻击中最常见的应用方式之一cookie的操作通过Document对象访问Cookie。若要创建一个Cookie,只要将特定格式的字符串赋给document.cookie常见cookie属性:Domain——设置关联cookie的域名 Expires——通过给定一个过期时间来创建一个持久化Cookie HttpOnly——用于避免cookie被JavaScri...
浅谈XSS(二)
bluesky
06-21 174
前面我们说到了反射性XSS的发掘,里面涉及了很多javascript的东西,也许有些孩童们看不懂里面的代码到底是什么回事。今天,我们就来认识一下什么是javascript。首先说之前要说明一点,javascript和Java半毛钱关系都没有,不要认为有一个Java就和Java有关,Javascript是一种由Netscape的LiveScript发展而来的一种客户端脚本语言。     在jav...
portswigger靶场 XSS2
Looooood的博客
02-28 1334
portswigger靶场记录
【应用安全之xss二】xss攻击介绍和防范(前端)
qq_35789269的博客
04-07 3411
本文我们会讲解 XSS ,主要包括: XSS 攻击的介绍 XSS 攻击的分类 XSS 攻击的预防和检测 XSS 攻击的总结 XSS 攻击案例 XSS 攻击的介绍 在开始本文之前,我们先提出一个问题,请判断以下两个说法是否正确: XSS 防范是后端 RD(研发人员)的责任,后端 RD 应该在所有用户提交数据的接口,对敏感字符进行转义,才能进行下一步操作。 所有要插入到页面上的数据,都要通过一个敏感字符过滤函数的转义,过滤掉通用的敏感字符后,就可以插入到页面中。 如果你还不能确定答案,那么可以带
最新Python3.5零基础+高级+完整项目(28全)培训视频学习资料
06-13
第7 心灵分享 上节回顾 静态方法、类方法、属性方法 课堂扯淡 深入讲解类的特殊成员方法__init__等 深入讲解类的特殊成员方法__new__等 反射详解 异常处理TryExcept 网络编程Socket介绍 Socket通信案例消息发送与...
[0539]基于JAVA的农机作业监管智慧管理系统的设计与实现
最新发布
muyu2980的专栏
08-14 393
系统将涵盖地块管理、作业计划制定、农机设备生命期管理(包括农机管理、调度、实时监控、保养和维修记录)、资源消耗跟踪(如用油管理)、作业清单及统计分析、精准农业相关的农药和施肥管理、以及用户权限管理、单位信息维护、系统设置等功能模块。地块管理模块将实现农田信息数字化,便于精准农业操作;2. 实现智能化调度与监控:通过对农机作业的实时监控和智能调度功能的设计,可以动态调整农机作业路径和时间,有效避免无效空转或重复作业,减少能耗浪费,同时通过数据分析及时发现并解决农机作业中的问题,保障农机作业质量和安全。
漏洞扫描作业
zzm_0802的博客
04-22 358
文章目录 一、CTF 基础知识 1、简介 2、竞赛 3、比赛形式 4、题目 二、Web 1、信息泄露下的 2、目录遍历 3、PHPINFO 4、备份文件下载 前言:记录备份文件下载过程 (一)、CTF 基础知识 1、简介 2、竞赛 3、比赛形式 4、题目 (二) 、Web 1、信息泄露下的 2、目录遍历 3、PHPINFO ...
漏洞扫描大作业
Petricho的博客
04-25 328
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录一、CTF基础知识1.1简介1.2竞赛1.3比赛形式1.4题目二、Web2.1目录遍历2.2PHPINFO2.3备份文件下载2.42.读入数据 一、CTF基础知识 1.1简介 CTF(C apture T he F lag,夺旗赛)CTF 的前身是传统黑客之间的网络技术比拼游戏,起源于 1996 年第四届 DEFCON,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。 CTF是一种流行的信息安全竞赛形式,其英文名可直.
XSS攻击(2), XSS分类, 测试方法, 防御方法, 绕过方法
探测???
10-18 2059
例如,如果一个论坛的帖子内容没有经过适当的过滤和转义,攻击者可以发布一个带有恶意脚本的帖子,当其他用户查看该帖子时,恶意脚本会在他们的浏览器中执行。对于XSS的不同类型,使用的渗透测试方法可能会有所不同。:与反射型XSS相似,尝试插入恶意载荷,但在这里,您希望这些载荷能够被存储并在后续的请求中再次呈现给用户。:查找应用程序中的所有地方,可以提交数据并在其他地方再次显示这些数据,例如评论、论坛帖子、用户资料等。恶意脚本被存储在目标服务器上(例如,数据库中),当其他用户访问某些页面时,脚本会被加载并执行。
使用pikachu管理工具下的XSS后台进行实战
北冥同学的成长记录笔记
07-29 3651
pikachu管理工具下的XSS后台是一个通过Cookie窃取和利用、钓鱼攻击、键盘行为记录这三个实战型实验来帮助学习者理解XSS漏洞的原理和危害的一个平台。旨在帮助学习者在实战中深入理解理论,从而可以更好的防御XSS漏洞。
【34】WEB安全学习----XSS攻击2
尚未佩妥剑 转眼便江湖
10-07 313
一、JavaScript事件 在构造XSS代码时,如果对&lt;&gt;进行了编码或过滤,那么无法结束和新建HTML元素,此时可以用事件进行触发(这里不讨论利用HTML标签属性值进行触发,因为只支持少部分浏览器)。 JavaScript脚本中的事件是指用户载入目标页面直到该页面被关闭期间浏览器的动作,以及该页面对用户操作的响应。 窗口事件 当用户执行某些会影响浏览器窗口的操作时,就会发生窗...
CTFXSS-Game解题报告
ζёСяêτ - 小優YoU
02-16 1958
完整原文:http://exp-blog.com/2019/02/15/pid-3316/ Github版:https://github.com/lyy289065406/CTF-Solving-Reports 官网入口(科学可见):XSS-Game(https://xss-game.appspot.com/) (转载请注明出处,仅供分享学习,严禁用于商业用途) 解题报告 Level 1 ...
WEB漏洞测试(二)——HTML注入 & XSS攻击
热门推荐
qq_28241149的博客
02-28 2万+
上一篇介绍了我们安装BWAPP来完成我们的漏洞测试 在BWAPP中,将HTML Injection和XSS做了非常详细的分类,那么为什么要将两个一起讲呢?归根结底,我觉得这两个分明是一个玩意,充其量是攻击的方式不一样。 我们先来介绍一下这两种漏洞的原理,简单说:当用户在输入框输入内容,后台对输入内容不做处理直接添加入页面的时候,用户就可以刻意填写HTML、JavaScript脚
信息安全二 XSS攻击
小灰的博客
02-28 988
一、概述 ​ XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理,导致“精心构造”的字符输出在前端时被浏览器当作有效代码解析执行从而产生危害。一般XSS可以分为如下几种常见类型: ​ 1.反射性XSS; ​ 2.存储型XSS; ​ 3.DOM型XSS; 二、环境 靶场:Pikachu 浏览器:火狐 三、反射型 交互的数据一般不会被存放在数据库里,一次性,所见即所得,一般出现在查询类页面等。 1.首先输入一些特殊字符
PiKachu之XSS(跨站脚本)
angry_program的博客
02-19 3644
XSS概述 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 2.存储型XSS; 3.DOM型XSS; XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。 XSS是一种发生在前端浏览器端的漏洞,所以其危害的...
CTF/CTF练习平台-XSSxss注入及js unicode编码及innerHTML】
Sp4rkW的博客
08-31 1万+
原题内容: http://103.238.227.13:10089/ Flag格式:Flag:xxxxxxxxxxxxxxxxxxxxxxxx 题目有点坑啊,注入点都没说明,去群里问的,这题注入点为id(get方式),id的值会进行替换后进入s 补充了这个,好了,继续做题 右键源码 &lt;script&gt; var s=""; docu...
DoraBox——文件包含、XSS跨站、两道ctf
weixin_46204746的博客
03-10 475
1.任意文件包含 这道题没有什么特别的限制,代码中使用include直接包含的,直接输入:txt.txt 2.目录限制文件包含 随便输入:php,发现include()里与原来相比多了一个“./”,所以直接访问./txt.txt 3.XSS 反射型 它指的是攻击者向目标网站中插入恶意代码(但恶意代码并未保存在目标网站中),只有当用户浏览该页面时,通过欺骗用户让用户自己点击链接(攻击者事先准备好的...
SpringBoot2.x使用Jsoup防范XSS攻击实战
"本文主要探讨了在SpringBoot 2.x应用程序中如何利用Jsoup库来防范XSS(跨站脚本攻击),通过示例代码详细解释了实施过程,并提供了相关安全准则。" 在Web开发中,XSS攻击是一种常见的安全威胁,它允许攻击者通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值