web安全攻防中xss平台部署中的.htaccess问题

最新推荐文章于 2024-02-22 07:04:45 发布
最新推荐文章于 2024-02-22 07:04:45 发布
阅读量724 收藏 1
点赞数 2
分类专栏: xss平台部署 .haccess伪静态配置 文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yqlhac/article/details/111300895
版权

XSS平台部署之.htaccess静态配置问题

建立.htaccess文件后访问127.0.0.1/xss 返回404

在这里插入图片描述
这时可以去查看Apache下的error.log文件

在这里插入图片描述
打开查看,如果有如下的记录:
T:/phpstudy/php/PHPTutorial/WWW/XSS/
[Wed Dec 16 17:38:06.134247 2020] [rewrite:error] [pid 16120:tid 2040] [client 127.0.0.1:2104] AH00670: Options FollowSymLinks and SymLinksIfOwnerMatch are both off, so the RewriteRule directive is also forbidden due to its similar ability to circumvent directory restrictions : T:/phpstudy/php/PHPTutorial/WWW/XSS/

在这里插入图片描述
(红线部分是问题的所在)
(error.log文件里内容可能会很多,如果是刚刚访问过127.0.0.1/xss,可以直接拉到最下面.或者你也可以直接ctrf+f搜索XSS)

看到这里,如果你的问题和博主一样,那么你的问题应该能解决了

解决方法

打开.htaccess文件,在文件中增加“Options +FollowSymlinks”
在这里插入图片描述

Options +FollowSymlinks
<ifModule mod_rewrite.c>
RewriteEngine on
RewriteRule ^([0-9a-zA-Z]{6})$ index.php?do=code&urlKey=$1
RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))?$ index.php?do=do&auth=$1&domain=$3
RewriteRule ^register/(.*?)$ index.php?do=register&key=$1
RewriteRule ^register-validate/(.*?)$ index.php?do=register&act=validate&key=$1
RewriteRule ^login$ index.php?do=login
</IfModule>

保存之后再去刷新一下xss界面就可以了
在这里插入图片描述
然后试一下创建项目

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
访问划线区域的网址:
在这里插入图片描述
说明配置成功

如果出现下图的样式,
在这里插入图片描述
说明配置失败

可以参考以下链接:
alias别名的.htaccess配置
xss入门之平台搭建

说明一下,博主用的是phpstudy搭建的平台,而不是《web安全攻防渗透测试实战指南》中用的wamp

这是博主第一次写博客,如有不好或者不正确的地方;请各位见谅并指出

楪之名
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
.htaccess实际运用案例之过滤URL特殊字符,防止XSS攻击
gongpeng1966的专栏
04-12 5905
验证过的,但还有一些用escape编码过的url参数不能有效过滤
搭建XSS平台伪静态设置错误(访问404)
qiuchi1975的博客
08-04 1752
在自己搭建XSS平台的时候,如果伪静态设置不对,在访问JS代码的页面时会出现404,: 作者服务器用的是Nginx,如果伪静态设置的不对就会出现这个问题! 一般需要将安装目录下“.htaccess”文件进行修改, Apache: RewriteEngine On RewriteRule ^([0-9a-zA-Z]{6})$ /xsser/index.php?do=code&urlKey=$1 [L] RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))
2019 Thinkphp开发笔记
轻风细雨_林木木
08-27 463
1..htaccess文件的具体意思 <IfModule mod_rewrite.c> Options +FollowSymlinks RewriteEngine On RewriteCond %{REQUEST_FILENAME} !-d RewriteCond %{REQUEST_FILENAME} !-f RewriteRule ^(.*)$ index...
搭建XSS 测试平台
最新发布
m0_62207482的博客
02-22 1270
xssplatform.sql 文件,然后执行以下SQL命令,将数据库原有的URL地址修改为 自己使用的URL, 如图2-18所示。同时,也需要将authtest.php 的网址代码替换为 自己的URL, 如图2-19用线框标出的部分。再将config.php注 册配置的normal 改为invite (使用邀请码注册,即关闭开放注册的功能)。问XSS 平台的URL地址,将注册配置的invite改为normal, 要修改的配置如图2-17所 示。
每天一点点之laravel框架开发 - API通过access_token获取用户id报 Unauthenticated. 错误(passport)...
weixin_30596165的博客
12-20 1380
1.首先保证你的config/auth.phpguards的api的driver选项改为passport 2.注册间件,在app/Http/Kernel.php文件的$routeMiddleware数组添加如下间件 protected $routeMiddleware = [ 'client.credentials'=&gt...
alias别名的.htaccess配置
固破的专栏
09-07 699
当在apache2使用别名时,配置.htaccess会遇到404错误。比如以下的alias配置:   Alias /htdocs /home/faund/yiidev/htdocs/wwwroot/&lt;Directory /home/faund/yiidev/htdocs/wwwroot/&gt;Options Indexes FollowSymLinks MultiViewsAll...
Web应用安全:XSS安全隐患产生原因.pptx
06-18
XSS安全隐患产生原因 1 XSS安全隐患 目录 2 XSS安全隐患产生原因 XSS安全隐患 1、网络钓鱼,包括盗取各类用户账号; 2、窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; 3、劫持...
Web应用安全:XSS的辅助性对策.pptx
06-17
内容安全策略是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。 CSP 的实质就是白名单制度,...
Web应用安全:XSS盗取cookiepayload.pptx
06-18
Cookie 并不是它的原意“甜饼”的意思, 而是一个保存在客户机的简单的文本文件, 这个文件与特定的 Web 文档关联在一起, 保存了该客户机访问这个Web 文档时的信息, 当客户机再次访问这个 Web 文档时这些信息可供该...
WEB开发常见安全漏洞分析与预防策略.rtf
12-23
WEB开发常见安全漏洞分析与预防策略
Web应用安全:XSS对策的基础.pptx
06-17
常见的Web漏洞如XSS、SQL Injection等,都要求攻击者构造一些特殊字符,这些特殊字符可能是正常用户不会用到的,所以输入检查就有存在的必要了。 输入检查,在很多时候也被用于格式检查。 例如,用户在网站注册时...
Apache Options Indexes FollowSymLinks详解
热门推荐
往之不谏 来者可追
05-13 1万+
如果该虚拟目录下没有 index.html,浏览器也会显示该虚拟目录的目录结构,列出该虚拟目录下的文件和子目录。 如何禁止 Apache 显示目录列表呢? 要禁止 Apache 显示目录结构列表,只需将 Option 的 Indexes 去掉即可。 比如我们看看一个目录的目录配置:  Options Indexes FollowSymLinks #----------
搭建Xss平台#xssplatform#win7
AKM4180的博客
01-05 892
准备机器 win7(虚拟机) 环境(phpstudy+apache+php7.3) 服务器 物理机 客户端 1.下载xss平台,访问https://github.com/78778443/xssplatform 下载后,将压缩包放入win7,解压放入WWW目录下 2.修改配置文件 config.php ‘dbUser’ =>‘数据用户’ ‘dbPwd’ => ‘数据库密码’ ‘data
解决修改httpd配置文件Options Indexes FollowSymLinks仍然无法禁止访问网站目录
KleyChan的博客
09-06 3448
由于一些特殊需求或者安全考虑,需要禁止用户访问网站目录,所以需要改httpd.conf配置文件。 一般来说,命令如下: vim /etc/httpd/conf/httpd.conf 找到目录标签下的 Options Indexes FollowSymLinks行,去掉Indexes,即改为 Options FollowSymLinks 如果是阿里云服务器的话,你需要: v...
禁止显示Apache目录列表-Indexes FollowSymLinks
weixin_33777877的博客
12-15 391
禁止显示Apache目录列表-Indexes FollowSymLinks 如何修改目录的配置以禁止显示 Apache 目录列表。 缺省情况下如果你在浏览器输入地址: http://localhost:8080/ 如果你的文件根目录里有 index.html,浏览器就会显示 index.html的内容,如果没有 index.html,浏览器就会显示文件根目...
重写规则为什么要有options +followsymlinks
weixin_34218579的博客
06-04 760
为什么80%的码农都做不了架构师?>>> ...
apache rewrite 重写后出现 出现404 not found及You don't have permission to access 以及No input file specified
df981011512的博客
03-10 4435
本文实例讲述了 【解决一】设置apache伪静态出现404 not found及You don't have permission to access / on this server解决方法。 【解决二】APACHE支持.htaccess以及 No input file specified解决方案 -----------------------【404
xss .htaccess apache
07-27
要防止XSS攻击,您可以添加以下代码到.htaccess文件: ``` <IfModule mod_headers.c> Header set X-XSS-Protection "1; mode=block" Header set X-Content-Type-Options "nosniff" <IfModule mod_rewrite.c> ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值