XSS综合应用

最新推荐文章于 2024-02-28 21:36:25 发布
最新推荐文章于 2024-02-28 21:36:25 发布
阅读量221 收藏 6
点赞数 1
分类专栏: 渗透与防御 文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46008548/article/details/132564990
版权

目录

环境搭建 efucms-master

修改数据库密码和数据库用户

替换_htaccess

安装phpMyAdmin4.8.5

进行XSS攻击

使用XSS平台进行测试

靶场多网站

环境搭建 efucms-master

前期条件:已安装phpstudy

下载efucms-master之后安装

将efucms-master复制到靶机中,并更改config.php.sample为config.php

修改数据库密码和数据库用户

数据库密码和用户要改为phpstudy的用户和密码才能成功连接

本次环境中使用的是

'DB_PWD'=>'123456',

'DB_USER'=>'root'

替换_htaccess

.htaccess

phpstudy中网站设置

安装phpMyAdmin4.8.5

进入目录下的phpMyAdmin下查看,但是在win7靶机的IE浏览器中不能查看完整界面

进入浏览器中查看,看到完整界面

输入用户名和密码

root 123456 看到管理内部

创建数据库

之前在配置文件中知道数据库名,efucms

导入efucms.sql数据库

sql表在efucms-master路径下

进入网站首页查看

进行XSS攻击

插入script语句

随便选择一篇文章进行评论

管理员登录后台查看

点击评论管理发现XSS成功

使用XSS平台进行测试

https://xss.yt/

再次XSS攻击

管理员再次查看评论

在xss平台看到cookie

使用cookie登录后台

靶场多网站

之前的文章搭建了DVWA

将之前的两个网站都搭建上,路径跟之前演示的一样,但是端口不一样

两个靶场使用一个数据库用户,但是用户创建的数据库不同

访问结果

创建成功

YancyYue
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
efucms搭建教程_GitHub - phplaber/efucms: The simple, easy-to-use cms based ThinkPHP
weixin_34663443的博客
12-24 552
efucms说明这是一个简单易用的内容管理系统(easy for use cms),基于ThinkPHP开发。efucms具备了内容管理系统的大多最基本的功能,包括栏目管理,文章管理等。如果你想迅速搭建起一个小型的内容发布网站,efucms不失为一个好的选择。你可以根据自己的需要,随意地对代码进行任何修改,因为efucms是开源的。安装将项目文件放在自己服务器根目录下,修改配置文件“config....
efucms搭建教程_EFUCMS E16小说漫画源码(附安装教程)
weixin_30086969的博客
12-24 3595
源码介绍内容付费源码系统,简称[efucms],又称[易付cms]。是由EFUCMS团队于2016年开发完成,并取得国家版权局颁发的计算机软件著作权登记证书的小说漫画网站源码产品。版权证书号:软著登字第【3-0-9-1-5-7-1】号。本系统适用于小说、漫画、听书、动漫、视频、商城、知识文案、教学课件等内容付费阅读网站建设使用,是为“付费阅读或观看内容”模式的互联网解决方案。使用漫画小说源码系统可...
Xss获取cookie,绕过密码
CSMin01_21的博客
04-14 229
资源链接。
WEB漏洞 XSS分析&简单实践
最新发布
黑战士的博客
02-28 1168
XSS全称是Cross Site Scripting即跨站脚本,为了不和层叠样式表(Cascading Style Sheets)的缩写CSS混合,所以改名为XSS;攻击者会向web页面(input表单、URL、留言版等位置)插入恶意JavaScript代码,导致管理员/用户访问时触发,从而达到攻击者的目的。
xss-platform平台的入门搭建
weixin_52501704的博客
03-19 5627
关于xss平台的搭建 其实一直用着网上别人的xss平台,但是又害怕自己的果实被别人窃取掉,所以参考着网上大佬的搭建自己也在服务器上部署了属于自己的xss平台,现在我想把自己遇到的问题和解决方案写出来,希望大家可以参考一下。 关于xss-platform源码的下载地址: 链接:https://pan.baidu.com/s/1NV4NhFfjtRwBh34x-QZhNQ 提取码:baz6 当然我也上传了网盘可以直接打开下载 下载之后把他解压到www的下面就是自己网站根目录下面 解压出来就..
总结分析 | 基于phpmyadmin的渗透测试
小司机的奥拓
09-22 2647
phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径,尤其要处理大量资料的汇入及汇出更为方便。其中一个更大的优势在于由于phpMyAdmin跟其他PHP程式一样在网页服务器上执行,但是您可以在任何地方使用这些程式产生的HTML页面,也就是于远端管理MySQL数据库,方便的建立、修改、删除数据库及资料表。
搭建XSS 测试平台
m0_62207482的博客
02-22 1367
中的xssplatform.sql 文件,然后执行以下SQL命令,将数据库中原有的URL地址修改为 自己使用的URL, 如图2-18所示。同时,也需要将authtest.php 中的网址代码替换为 自己的URL, 如图2-19中用线框标出的部分。再将config.php注 册配置中的normal 改为invite (使用邀请码注册,即关闭开放注册的功能)。问XSS 平台的URL地址,将注册配置中的invite改为normal, 要修改的配置如图2-17所 示。
web漏洞之XSS_TEST漏洞实践练习代码
04-25
Web漏洞中的XSS(Cross Site Scripting)攻击是一种常见的安全问题,主要针对Web应用程序。XSS允许攻击者在用户浏览器中注入恶意脚本,从而控制用户的会话、窃取敏感信息或者执行其他恶意操作。本资源"XSS_TEST漏洞...
gnuboard xss漏洞1
08-03
总的来说,理解并防止XSS漏洞是保障Web应用程序安全的关键步骤之一。开发人员应当遵循“不要信任任何用户输入”的原则,并实施适当的编码和验证策略,以确保Web应用免受此类攻击的威胁。对于用户来说,保持软件更新...
Java防止xss攻击附相关文件下载
08-25
Java防止XSS攻击的核心策略是确保用户输入的数据在...总之,Java防止XSS攻击需要综合运用多种技术,包括过滤、转义、验证和使用安全的编程实践。开发人员应该始终关注输入验证和输出编码,以构建更安全的Web应用程序。
2019最新修复版efucms聚合小说漫画动漫听书分销系统源码(附安装教程)
01-14
19年聚合小说+漫画动漫+听书功能多合一系统源码!仿掌中云网!带分销系统,带代理功能+第三方支付!本程序本人整合了漫画小说资源,赠送漫画小说采集规则,市面不多。 优势功能 1. 按章节阅读,对其中某些章节设置付费阅读。 2.多种支付收款接口。 3.对接微信公众号,自动登录,也可以直接网页版使用。 4.用户可对喜欢的小说、漫画进行收藏。 5.后台分类管理
aaaaaaaaaaaaaaaaaaaaaaaa
04-19
aaaaaaaaaaaaaaaaaaaaaaaa 2019.3.7号更新 优化返回逻辑 增加详情页和阅读页首页图标方便用户返回 2019.3.1更新 添加可以上传小说后再次编辑可以继续上传zip包,方便客户做批量上传 增加代理注册短信验证码开关,可以选择是否可以 2019.2.17最新更新: 系统小说阅读页可选择更多配色 后台可选择是否开启微信登陆与自动注册功能 可添加VIP专属漫画,仅供VIP用户阅读 修复功能: 修复了生成批量上传文件.bat 数字排序不正确问题 修复小说上传空白问题 修复漫画详情页自定义分享标题、内容、封面功能 ---------------------------------------------------- 扣量功能 强制关注 公众号消息发送 文案制作 应用尽有 小说+漫画+听书”一体化模式版本。 总站+代理分销模式 可无限发展分销代理,每个代理都有独立的推广后台。总站控制整个平台,自由设置代理分佣比例,以及结算操作
java防止xss注入
07-15
**Java防止XSS注入详解** XSS(Cross-site scripting)是一种常见的网络安全漏洞,攻击者通过在网页中嵌入恶意脚本,使用户在不...通过综合运用这些手段,可以有效地降低XSS攻击的风险,保护Web应用和用户数据的安全。
XSS防攻击实现
05-09
XSS(Cross Site ...总的来说,防止XSS攻击需要综合运用多种防御手段,包括输入验证、输出编码、使用安全的HTTP方法以及自定义Spring MVC的参数绑定逻辑。理解这些技术并正确实施,可以显著提高Web应用的安全性。
初探efucms漏洞及简单分析
lilili260
06-03 3541
efucms是一个基于thinphp二次开发的cms,efucms具备了内容管理系统的大多最基本的功能,包括栏目管理,文章管理等。这是一个开源的项目,下载地址:https://github.com/phplaber/efucms 按照readme中给出的安装方式进行安装; 安装完成后的界面如图所示: 随便点开一个文章: 发现文章最下方有发表评论的内容。 那么首先想到的是xss漏洞...
phpmyadmin渗透小技巧
https://www.cnblogs.com/zpchcbd/
09-10 1035
只是单纯的记录给自己看的哈 如果大家看到不要嫌弃 一些建站软件或者傻瓜式的搭建软件phpmyadmin常会在888、999的端口 我们可以尝试用nikto进行检测相应的未授权漏洞 nikto -host http://测试域名地址:999/ setup这个目录有时候管理员不会关闭 因为默认安装的 隐患很大哈 恰恰也能利用 自己能够直接未授权进行操作 我们可以直接新建服务器 在认证页面的时候 ...
efucms搭建教程_EFUCMS E16小说漫画系统源码 最新完美UI设计漫画/听书直播源码程序...
weixin_34410975的博客
12-24 1277
源码资源说明:漫画,小说,挺熟,直播视频于一体的程序APP,经过严密测试,保证可用,内附详细安装教程。安装好后需要自己封装成APP。UI非常好看。安装说明:一.环境要求:操作系统/win或linux、PHP/5.4x、mysql/5.5x、Apache/2.4.x、开启openssl扩展。二.修改数据库配置文件,路经如下\Application\Common\Conf\db.php三.修改漫画书内...
EFUCMSE16小说漫画系统搭建教程
he932的博客
10-23 1461
一.环境要求:操作系统/win或linux、PHP/5.4x、mysql/5.5x、Apache/2.4.x、开启openssl扩展。 二.修改数据库配置文件,路经如下\Application\Common\Conf\db.php 三.修改漫画书内容详情图片地址前缀,路经如下\Application\Common\Conf\config.php 四.导入数据库文件ces.sql。 五.平台默认操作地址以及帐户密码 1.总后台访问地址:http://你的域名/efucms.php 默认账号:admin
xss localStorage
08-23
XSS (Cross-Site Scripting) 是一种常见的网络安全漏洞,允许攻击者在受影响的网页上注入恶意脚本。...综上所述,要保护网站免受 XSS 攻击,我们需要综合使用输入验证、输出编码、CSP 和定期漏洞修复等安全措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值