利用XSS钓鱼英语老师

最新推荐文章于 2025-09-16 15:55:41 发布
原创 最新推荐文章于 2025-09-16 15:55:41 发布 · 置顶 · 1.9k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#漏洞 #钓鱼 #XSS

本文讲述了作者在学习XSS后,尝试在英语作业平台iwrite中利用XSS漏洞钓鱼,尽管遇到了HTTP Only限制,但通过精心构造的JavaScript代码成功实现了远程脚本加载,诱导老师输入账号密码。在道德挣扎后,作者选择了向老师坦白并提出安全建议。此案例展示了XSS攻击的潜在风险和防护的重要性。

      这几天刚把关于XSS的网课搞定,然而本帅已经不满足于在本地环境下测试。想到因为学网课把英语老师在iwrite系统上布置的好几篇作文落下,登入iwrite发现前面好多作业已经过期了,此时本帅的内心是哇凉哇凉的,万一就因为这不起眼的平时分导致挂科那是多不划算啊!

        于是乎,本帅有了个邪恶的想法——在标题区,写作区测试下是否存在XSS,有的话,完全可以利用XSS盲打老师后台cookie,得到cookie后,嘿嘿嘿..........

        说明下为什么会先测试标题区和写作区,因为这里是写英语作文的啊!同志们,英文啊 。。。 开发者十有八九不会过滤 "<"  ">"这种符号啦,script , alert 这种单词我更不信他会过滤。so,先尝试下简单的payload 


    

    弹窗了!它居然弹窗了!哇哇哇,不会吧,一不小心就找到个存储型xss


            F12 调出firebug,确定触发xss的位置


最低0.47元/天 解锁文章
Geekwei
关注
[网络安全自学篇] 七十八.XSS跨站脚本攻击案例分享及总结(二)
杨秀璋的专栏
05-18 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了肖老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。这些天分享了很多系统安全和软件安全的知识,接下来让我们回归网络安全,做做XSS跨站脚本攻击案例。这些题目来自Fox好友,在此感谢他。主要内容包括XSS原理、不同类型的XSSXSS靶场9道题目、如何防御XSS。希望您喜欢~
小迪笔记第五十二天 XSS基础之反射型&& 储存型&&dom型
2301_81155391的博客
12-15 886
运行一下就是简单的我们输入 浏览器输出 那这个怎么造成Xss(跨站脚本攻击) 那我输入个别的 js代码直接执行了 这个就是用户的输入因为服务器没有过滤而使得被当做代码执行输出出来从而造成危害那也没跨站呀 弹窗没啥危害这个就是跨站钓鱼 这样他一点 我们给伪造为一个 假的支付宝登录 是不是直接拷打小白点击就会跳转反射型就想名字一样 反射这个物理行为是不是很短暂 且只有一次 那这个也是 其实上边这个钓鱼网站 就是。
利用XSS进行网页钓鱼
Monsterlz123的博客
07-22 6946
XSS漏洞利用XSS进行网页钓鱼 Hello 各位小伙伴周末晚上好 这里是你们微胖的小编Monster。 话说小编的老妈今天给小编打电话,叮嘱我平时吃饭少吃一点… 说昨天看我朋友圈发的照片,已经从以前的瓜子脸,变成国字脸了… Whatever,让我们一起来看看今天的内容吧 一、实验概述 实验拓扑: 利用XSS漏洞,我们可以在网页中插入恶意js代码,通过js代码,我们可以干很多事情,例...
XSS钓鱼攻击演示。
weixin_44720762的博客
05-01 3674
basic认证的钓鱼攻击: 在存在xss漏洞的页面去嵌入一个向用户端提交的请求程序(javascript或者是链接请求。)当用户打开了这个链接,就会向后台发送请求,后台会返回一个如上图所示的basic认证的头部。在用户的安全意识不强,为察觉出其中异样的情况下如实输入了自己的用户信息。这时候信息被发送到攻击人员的接受端。 相关的嵌入代码 相关的basic认证提示框代码 xfish原代码 具体内容:...
手把手带你搞懂XSS之Flash弹窗钓鱼和文件上传getshell各种操作,网络安全零基础入门到精通教程建议收藏!
最新发布
qq_41314882的博客
09-16 732
本文介绍了XSS和文件上传漏洞的组合攻击方式,主要包括: 通过上传HTML/SVG文件实现XSS攻击,演示了SVG文件弹窗实例; 利用PDF文件实现XSS攻击的方法,提供了PDF木马制作教程; CSV文件上传可能导致命令执行漏洞; 详细演示了Flash弹窗钓鱼攻击流程,从XSS漏洞利用到伪造Flash网站; 分享了PDF木马制作过程,通过插入JS代码实现弹窗效果。 文章结合理论讲解和实战演示,展示了多种文件上传漏洞XSS结合的渗透测试技巧,并提供了相关工具和测试思路。
完成xss漏洞利用-XSS钓鱼实验
weixin_43696861的博客
04-25 678
一、钓鱼脚本 fish.php <?php error_reporting(0); // var_dump($_SERVER); if ((!isset($_SERVER['PHP_AUTH_USER'])) || (!isset($_SERVER['PHP_AUTH_PW']))) { //发送认证框,并给出迷惑性的info header('Content-type:t...
XSS钓鱼某网约车后台一探究竟,乘客隐私暴露引发思考
dfdhxb995397的博客
05-16 314
i春秋作家:onls辜釉 最近的某顺风车命案,把网约车平台推上了风口浪尖,也将隐私信息管理、审查的讨论面进一步扩大。这让我不禁联想起自己今年春节的遭遇,当时公司放假准备回家过年,我妈给我推荐了一个在我们那十八线小城当时正搞活动的网约车平台,从市火车站到县里原本100+的车费,平台新用户只需1元。是个没听过的平台本有点不放心,不过抱着尝试新鲜事物(穷)的心态还是下载注册了试试,但出...
Pikachu——Xss钓鱼
m0_60767986的博客
04-23 8730
前端js代码限制输入框只能提交20个字段,将它修改为100即可(当然,这是get型xss,可以直接在url传参处添加攻击语句)提交攻击语句后发现,跳转回了靶场首页,网页debug发现:第一:请求了指定的钓鱼页面的url,并在后面携带了我的cookie信息第二:跳转回靶场首页(前面“靶场cookie获取的额外操作”的结果,用来抵消受害者的怀疑)
XSS & CSRF 】泄露cookie——以DVWA-High为例
Mr_Fmnwon的博客
05-23 2267
综合利用XSS以及CSRF实现Cookie的泄露,,,旅程比较曲折跨站脚本攻击XSS(最全最细致的靶场实战)_xss靶场-优快云博客网站中包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。
20、预防跨站脚本攻击(XSS)全攻略
qsc90123456的博客
07-24 67
本文深入探讨了跨站脚本攻击(XSS)的成因及防范策略,从浏览器设计和网站开发者的角度分析了XSS难以根除的原因,并详细介绍了输入过滤、输入编码和输出编码等多种防护手段。文章还提供了浏览器安全使用建议,并通过对比不同过滤和编码方式的优缺点,帮助开发者根据项目特点选择合适的防护机制。此外,文章还包含流程图和实际代码示例,为用户构建全方位的XSS防御体系提供参考。
xss漏洞钓鱼
rescure的博客
01-21 1245
利用xss漏洞钓鱼 简要:由于资金问题,没有自己的网站,故在此用xss平台和dvwa实现xss反射型钓鱼操作 NO.1 正常进入dvwa,模式选择为low,使用xss(refelect) 进入xss平台,选择创建项目,在此为dvwa,创建之后,选择功能默认即可 ,随后平台会生成自己的js代码 NO.2 接下来,复制生成的js代码,粘贴至xss漏洞处(具体情况需要自己分析是什么类型的) 接下来就是copy大法了 ...
xss钓鱼演示
qq_42764906的博客
04-22 327
在存储型XSS里输入(注:和上一节一样需要根据路径更改网址) 得到(弹出) 因为是存储型XSS 再次打开还会弹出这个页面
实验27:xss钓鱼演示
qq_44720671的博客
04-18 1044
实验思路: 我们会用basic认证来做一个钓鱼的场景 我们可以在存在着xss漏洞的页面里面嵌入一个请求,当用户打开这个嵌入了恶意代码的页面,用户的页面就会弹出图中的登陆框,如果用户的安全意识不太够,那么就会把账号和密码发送到我们的pkxs后台 我们在pikachu的储存型XSS上来做演示,输入这个payload 点提交后 因为他是个存储型xss,所以我们的留言板里已经留下了,所以我们刷新一下...
xss实现钓鱼操作
weixin_38168786的博客
01-29 1459
自己写一个和原网站后台登录地址一模一样的钓鱼页面JS加载一个iframe 100%覆盖原网页 提示登录超时重新登录 因为是iframe加载 url地址不变 钓鱼成功后 再跳转回/admin/index.php 因为目标session没过期 所以可以极大程度的模拟正常的登录成功操作。 注入如下代码: 1 setTimeout(function(){ 2 parent.docum...
XSS Flash钓鱼
cheapkiller的博客
07-23 397
2.来到xss平台 点击公共模块---flash弹窗钓⻥-查看 将其中的代码保存成⼀个js⽂件放到我们⽹。6.将两个⽂件⼀块压缩并更改⽂件名为"Download.exe",点击"⾼级"标签⻚下的"⾃解压选项"填。1.在phpstudy中部署web环境并将源码文件部署在网站根目录下然后修改内容并访问。4.修改js中的这⼀⾏代码,改成我们伪造的flash⽹站⽹址。5.打开kali虚拟机使用MSF在真的flash生成一个木马。写解压路径为 C:\Windows\Temp。进行项目前先打开xss平台进行注册登录。
XSS钓鱼攻击
WINDY_PACE的博客
05-13 1661
XSS 不与后台服务器产⽣数据交互,通过前端的dom节点形成的XSS漏洞,跟服务器⽆关。⼀...
XSS漏洞钓鱼
weixin_51356351的博客
11-19 541
实验环境 PHPstudy DVWA靶场 实验步骤 重定向钓鱼 1、把当前页面重定向到一个钓鱼页面,例如重定向到百度, <script>document.location.href="http://baidu.com"</script> 2、打开DVWA靶场 选择(XSS)stored 然后F12打开查看器,将输入限制值改的大一点 插入代码则会重定向到百度页面 ...
XSS钓鱼和组合拳技巧
goddemon
09-11 734
一.xss钓鱼 ①保存账户密码的后端钓鱼网页 保存js&css到服务器,登录action改为接受密码的文件action="./pass.php" <?php //php $user=$\_POST\['username'\]; $pass=$\_POST\['password'\]; $file=fopen('pass.txt','a+'); fwrite($file,$user."|"."pass" . "\\n"); fclose($file); echo "&lt
xss漏洞之——钓鱼页面
wsnbbz的博客
03-04 2702
1.重定向钓鱼:把当前页面重定向到一个钓鱼页面,此处使用百度测试 代码: <script>document.location="http://www.baidu.com"</script> 注入后效果: 2.HTML 注入式钓鱼:使用 XSS 漏洞注入 HTML 或 JavaScript 代码到页面中 代码(页面注入一个登陆界面,通过后台接收): <html&g...
PKAV更新:全面探索Web XSS利用方法
资源摘要信息:"XSS利用与挖掘-_更新版.rar_Exploit_XSS_XSS 利用_pkav_web exploit" 本文档涉及的知识点非常丰富,涵盖了XSS攻击的多个方面,包括其定义、类型、攻击方法、挖掘技术及防御策略。首先,需要明确XSS...
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值