XSS漏洞---XSS盲打

最新推荐文章于 2025-06-02 15:27:06 发布
最新推荐文章于 2025-06-02 15:27:06 发布
阅读量358 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: web 安全 文章标签: xss 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Ethan024/article/details/114753062
本文通过皮卡丘靶场演示了XSS存储型漏洞的利用过程。实验中通过输入JavaScript脚本触发了XSS漏洞,展示了如何利用无害字符串及特定脚本在后台登录时触发弹窗。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

XSS盲打

实验准备:

  1. 皮卡丘靶场;

实验步骤:

  1. 输入无害字符串来查看效果,发现该字符串已经提交到后台;在这里插入图片描述
  2. 输入一个JavaScript脚本<script>alert(2222)</script> 发现也并没有弹框
    在这里插入图片描述
  3. 登录管理员界面查看后台,发现登录就会弹框
    在这里插入图片描述
    在这里插入图片描述
  4. 其本质就是XSS存储型漏洞。
XSS盲打:当攻击者“盲狙”管理员
m0_58442919的博客
02-14 968
XSS盲打并不是一种新的漏洞类型,而是一种攻击场景。攻击者输入的内容不会在前端显示,而是可能被后台管理员看到。换句话说,攻击者看不到自己的输入是否被执行,只能“盲狙”管理员XSS盲打的本质是存储型XSS漏洞,因为攻击者输入的内容被存储在服务器上,并在管理员查看时输出到页面。如果后台没有对输入内容进行过滤或转义,恶意脚本就会被执行。​XSS盲打是一种“盲狙”式的攻击方式,攻击者看不到前端的反馈,但却可能一击致命,直接拿下管理员权限。
xss盲打以及盲打实验演示
北冥有鱼
04-22 2383
什么是xss盲打? 我们直接来到ipkachu的xss盲打页面进行演示 我们随便输入几个字符 发现我们的输入不会在前端输出,只会在后台输出,只有管理员能看到我们的内容 我们按照之前的思路输入一下payload,当然前端也没有输出 我们点一下提示会发现有登陆后台的地址,那我们就去登陆一下这个后台 登录进去后发现刚才的payload果然被插入进去了 这种情况其实就属于xss盲打,这个漏洞...
XSS盲打
weixin_44749329的博客
05-19 4264
XSS盲打 XSS盲打:它不是一种XSS漏洞的类型,它其实是一种XSS一种的攻击场景。 以下来实施XSS的一种盲打 1.打开pikachu里的XSS盲打 2.输入一个字符来测一下看它有什么样的作用,点击提交后显示如图这句话 仿佛在说我们输入的内容并不会在前端输出,看起来好像是被提交到了后台,它的管理员有可能会被看,只有他的管理员能看到我输入的内容,前端的用户是看不到的 3.我们来设想一种...
pikachu靶场通关笔记10 XSS关卡06-XSS盲打
最新发布
mooyuan的网络安全博客
06-02 1163
本系列为通过《pikachu靶场通关笔记》的XSS关卡(共10关)渗透集合,通过对XSS关卡源码的代码审计找到真实原因,讲解XSS的原理并进行渗透实践,本文为XSS第06关-XSS盲打的渗透部分,并且结合源码分析,对比通用的XSS攻击讲解攻击成因。
8.XSS盲打
愿听风成曲
06-25 461
首先在xss盲打界面输入攻击代码和随意的大名提交即可。管理员界面直接会弹出xss界面。
什么是xss盲打
weixin_34334744的博客
10-26 150
什么是xss盲打?         盲打仅仅是一种惯称的说法,就是不知道后台不知道有没有xss存在的情况下,不顾一切的输入xss代码在留言啊,feedback啊之类的地方,尽可能多的尝试xss的语句与语句的存在方式,就叫盲打。        “xss盲打”是指在攻击者对数据提交后展现的后台未知的情况下,站点採用了攻击者插入了带真实攻击功能的xss攻击代码(一般是使用script标签引入...
以黑盒与白盒的角度分析和通关xss-labs(XSS漏洞类型与总结)
记录开发和安全学习过程中的点点滴滴
07-06 936
本靶场我是以黑盒测试过了一遍后,然后通过白盒测试分析代码,并将代码的解析放到了对应的通关下面的,原因就是平常懒的打靶场,个人比较喜欢实战测试,本次以黑+白的测试方式,既对自己的渗透测试xss进行了梳理,也对自己学习了代码审计后对php代码的分析和审计能力做了一个检验.开局一个死鱼眼,通关全靠弹下面是我对XSS漏洞的一个总结与梳理,需要的师傅可自行下载和改进。
第26天:WEB漏洞-XSS跨站之订单及Shell箱子反杀记1
08-03
1. **订单系统XSS盲打**:攻击者通过订单系统注入XSS代码,当管理员查看订单详情时,恶意脚本执行,可能窃取敏感信息。 2. **Shell箱子系统XSS盲打**:利用Shell管理工具的输入验证不足,注入XSS,获取服务器控制权...
XSS漏洞XSS攻击平台-窃取Cookie
muyuchen110的博客
07-23 900
XSS漏洞基础:XSS 攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS) 的缩写混淆,故将跨站脚本攻击缩写为 XSSXSS 是⼀种在 web 应⽤中的计算机安全漏洞,它允许恶意web⽤户将代码植⼊到 web ⽹站⾥⾯,供给其它⽤户访问,当⽤户访问到有恶意代码的⽹⻚就会产⽣ xss 攻击;漏洞概念:⽬标未对⽤户从前端功能点输⼊的数据与输出的内容未进⾏处理或者处理不当,从⽽导致恶意的JS代码被执⾏造成窃取⽤户信息劫持WEB⾏为危害的。
XSS漏洞:pikachu靶场中的XSS通关
qq_68163788的博客
05-25 2339
在pikachu靶场中的XSS通关是一种漏洞攻击技术,通过在输入框中注入恶意脚本代码来实现攻击。攻击者可以利用XSS漏洞窃取用户的cookie信息、重定向用户到恶意网站或者篡改网页内容等。在pikachu靶场中,攻击者可以通过输入恶意代码实现跨站脚本攻击,从而获取敏感信息或者控制网页行为。要防范XSS漏洞,网站开发者应该对用户输入进行严格过滤和验证,避免恶意代码的注入。
Pikachu靶场之XSS漏洞详解
Nai_zui_jiang的博客
08-22 1270
跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览页面时,攻击者插入在页面的Script代码会被解析执行,从而达到恶意攻击的目。
关于xss盲打关于xss盲打
u012614598的专栏
11-21 1097
关于xss盲打关于xss盲打      又到了各种年终总结的时候了,先祝各位看官“圣诞快乐”。我记得有朋友问我在2012年里有没有“猥琐流”比较出彩的东西时,我给的答案是“xss盲打”!   关于“盲打”这个词语的出现,最早应该是在wooyun里id为“胯下有杀气”的马甲提出的。最早的一个wooyun案列是2012年7月提交的《WooYun-2012-09547》 ,由此xss盲打火了起来,
XSS盲打、绕过
0xcc'Blog
04-28 3622
#0x00:XSS盲打 尽可能地于一切可能的地方提交XSS语句,只要后台管理员看到某一条语句,此语句就能被执行。 可以再留言板上留下获取cookie的代码,只要管理员在后台看到,就能获取管理员的cookie。 #0x01:XSS绕过 通常有以下几种方法 0.前端限制——抓包重放/直接F12修改前端代码 1.大小写——<SCriPt>AleRt(test)</ScRipt&...
XSS跨站脚本攻击之——XSS盲打
温柔小薛的博客
04-05 835
XSS盲打 XSS盲打就是攻击者在前端提交的数据不知道后台是否存在xss漏洞的情况下, 提交恶意JS代码在类似留言板等输入框后,所展现的后台位置的情况下, 网站采用了攻击者插入的恶意代码, 当后台管理员在操作时就会触发插入的恶意代码, 从而达到攻击者的目的。 方法 ‘’‘><script>alert('123')</script>+攻击代码 在文本框提交 ...
XSS盲打与cookie劫持
m0_74249600的博客
08-14 1411
本文紧接上篇文章讲述了XSS盲打、cookie劫持以及靶场实践,请关注持续更新(本文部分内容来自课件,如有版权问题请与我联系)
Pikachu靶场:XSS盲打
witwitwiter的博客
04-17 2373
Pikachu靶场:XSS盲打 实验环境以及工具 Firefox浏览器、Burp Suite、Pikachu靶场 实验原理 ●xss盲打也是属于存储型XSS类型 盲打的意思是无法直接在前端看到反馈效果。 xss盲打类型交互的数据会被存在在数据库里面,永久性存储,一般出现在留言板,问卷调查等页面。 形成XSS漏洞的主要原因是程序对输入和输出的控制不够严格,导致“精心构造”的脚本输入后,在输到前端时被浏览器当作有效代码解析执行从而产生危害。存储型XSS漏洞跟反射型形成的原因一样,不同的是存储型XSS下攻击者可以
XSS攻击:简单的盲打实验
weixin_43726152的博客
05-13 432
什么是盲打? 就是提交的恶意js给后台,但前端是看不见的,我们就不知道这里是否有漏洞。 比如意见箱: 但是值得试试,因为一旦管理员进入后台查看,就会中招 我们这里重复做获取管理员cookie这个实验,获取了管理员的cookie危害很大,攻击者可以用这个管理员cookie免密登入: 目标主机:win10 192.168.56.133 攻击主机:win10 192.168.56.132 构造payload <script>document.location = 'http://192.168.56
xss盲打
03-18
XSS盲打指的是攻击者无法直接看到自己所提交数据的具体呈现效果但仍尝试发起攻击的情形。例如,在某些情况下,攻击者可能会试图窃取管理员账户的信息却不知道自己的输入是否会成功显示出来[^2]。 对于上述提到的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

汉堡哥哥27

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值