[ 靶场环境篇 ] XSS-labs 靶场环境搭建(特别详细)

已于 2023-04-05 18:04:08 修改
阅读量2w 收藏 117
点赞数 24
分类专栏: xss-labs靶场通关宝典 文章标签: 安全 web安全
于 2021-12-10 18:42:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_51577576/article/details/121862461
版权

🍬 博主介绍  

  • 👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
  • ✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
  • 🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
  • 🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
  • 🙏作者水平有限,欢迎各位大佬指点,相互学习进步!

想入门渗透行业呢光有理论基础是不够的,更重要的是实践经验。

接下来我会分享一些入门级靶场,从环境搭建一直到通关教程。

入门级靶场会分享:pikachu、DVWA、XSS-labs、sql-labs、upload-labs等内容。

上篇文章写到了 pikachu 靶场的搭建,本文写 XSS-lab 靶场环境的搭建。

目录

一、环境准备

1 搭建环境

2 下载链接

二、安装教程

1. 首先我们需要搭建好PHP study:

2. 下载 xss-labs 靶场源码

3. 解压缩并放入如下文件夹(网站根目录)

4.  验证

三、专栏分享

一、环境准备

1 搭建环境

Windows10 + phpstudy + xss-labs

由于现在电脑基本上是win10,在这里就以win10为例、linux的搭建大同小异。

我用的是phpstudy2018版本,用其他版本也是可以的,看个人习惯。

xss-labs 直接再GitHub上下载,下面我会给出下载链接。

想我上面提到的靶场源码都是可以再GitHub上下载的。

2 下载链接

xss-labs 靶机下载地址:

GitHub - do0dl3/xss-labs: xss 跨站漏洞平台

phpstudy集成开发环境搭建:

[ 靶场环境篇 ] phpstudy 集成环境安装教程(特别详细)

二、安装教程

下载完环境我们就开始进行安装。

1. 首先我们需要搭建好PHP study:

[ 靶场环境篇 ] phpstudy 集成环境安装教程(特别详细)

2. 下载 xss-labs 靶场源码

GitHub下载zip压缩包(链接

3. 解压缩并放入如下文件夹(网站根目录)

修改为简单的名字,如 xss-labs(原名字:xss-labs-master)

4.  验证

在浏览器地址输入localhost/xss-labs
或者输入127.0.0.1/xss-labs
再或者输入本机ip/xss-labs

得到如下界面,安装成功

三、专栏分享

推荐阅读:[ 渗透入门篇 ] 渗透行业必备术语大集合(一)

                  [ 靶场环境篇 ] pikachu 靶场环境搭建(特别详细)

                  [ 靶场环境篇 ] phpstudy 集成环境安装教程(特别详细)

每个专栏都在持续更新中~~~

渗透测试自学篇

网络基础

web基础知识点

操作系统篇

python爬虫

闲聊

面试总结

python

通讯安全

靶场

XSSxss-labs靶场通关
qq_62987084的博客
09-22 1069
xss-labs靶场通关详解
靶场-xssXSS-labs靶场搭建及闯关练习(更新中)
碎冰冰
02-19 810
网站配置信息,域名可填写为虚拟机的IP地址,或者换回地址127.0.0.1也可,根目录为:WWW\xss-labs-master\xss-labs-master,点击确认即可搭建成功。本文中是采用小皮面板集成环境在Windows操作系统进行搭建,操作系统为windows 2012。在浏览器输入URL访问出现以下界面,即可正常使用;打开小皮面板开启web服务,创建网站。【等待更新...............,我先做题】xss-labs-master.zip - 蓝奏云。下载源码,解压到小皮面板网站根目。
【网络安全xss-labs本地靶场新手搭建详细教程
等风来
08-03 6019
PhpStudy是一个PHP调试环境的程序集成包,集成最新的Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer,安装后无须配置即可使用。自此,xss-labs靶场搭建成功。
XSS漏洞深入及xss-labs-master靶场(复现)
最新发布
2201_75642447的博客
03-25 1077
xss全称(cross site scripting)跨站脚本攻击,是最常见的web应用程序安全漏洞之一,位于owasptop102013年度第三名xss是指攻击者在网页中嵌入客户端脚本,通常是javascrip编写的危险代码,当用户使用浏览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。xss属于客户端攻击,受害者最终是用户,但特别要注意的是网站管理人员也属于用户之一。
xss-labs靶场实战
2303_79251750的博客
07-16 604
环境搭建及下载地址,如果不想自己搭建可以使用博主的网页(尽量自己搭!)搭建完毕后打开靶场,点击图片正式开始xss之旅吧!
flume1.9.0安装部署
MJK祺的博客
05-14 1476
我的压缩包放在了/opt/software,你们根据自己情况修改就行。需要提前安装好JDK,Hadoop,安装过程可以看我上一文章。为了方便,我把解压后的文件重命名为flume。
xss-labs靶场
qq_49518993的博客
05-21 555
1 反射型xss 由图片分析,可能是输入一个用户名称,然后返回他的长度。 我们可以对name进行xss弹窗 <script>alert('xss')</script> 2 我们直接在搜索框进行xss弹窗发现错误 查看源码 发现<>被转义了 ,根据value输入值,我们可以尝试提前对输入的值进行闭合然后再执行自己的代码 "><script>alert('xss')</script>// 3 日常搜索框弹
xss漏洞(五,xss-labs靶场搭建及简单讲解)
2302_80280669的博客
08-06 2418
本文基于github上的xss-labs靶场以及PHP study进行操作。
XSS 学习笔记(二)】xss-labs靶场
jieli0901227的博客
12-03 757
XSS学习笔记
xss-labs靶场搭建及通关
2301_80652627的博客
02-14 260
2、 打开phpmyadmin登入root用户,修改用户权限,后点击执行。3、下载后解压重命名为xss-labs,放在wwww文件夹下面。前提:小皮的下载和配置。
WEB渗透学习-XSS-labs靶场
04-20
以下是对XSS-labs靶场中可能出现的一些关键知识点的详细讲解: 1. **反射型XSS(Non-Persistent XSS)**:这是最常见的一种XSS,攻击者的恶意脚本通过用户点击链接或者提交表单时的参数传递到服务器,再反射回用户...
xss-labs-master.zip(xss注入通关游戏/靶场
03-21
`xss-labs-master.zip`包含了一个专门用于学习和实践XSS注入的通关游戏或靶场,对于网络安全测试人员来说,这是一个极好的学习资源。 **XSS分类** 1. **存储型XSS**:也称为持久型XSS,攻击者将恶意脚本存入服务器...
XSS-labs靶场练习-持续更新中
09-09
通过靶场练习,新手可以逐步了解和掌握识别XSS注入点、构造攻击载荷、绕过防护机制等技能,进而提升网络安全防护水平。 识别XSS注入点的关键在于寻找用户交互界面。在这些界面输入JavaScript语言片段后,若页面有...
xss-labs-master源码
07-06
"xss-labs-master"是一个专门设计的靶场,包含了20个级别的XSS练习,旨在帮助学习者深入理解和掌握XSS攻击的原理、类型以及防御策略。通过逐步解决这些精心设计的挑战,我们可以逐步提升对XSS攻击的理解,并提升安全...
XSS漏洞:xss-labs靶场
sgdhshshhs的博客
03-20 841
如果直接将用户输入的包含这些特殊字符的内容插入到 HTML 文档中,可能会导致 HTML 结构被破坏,甚至会被攻击者利用进行 XSS 攻击。这样,浏览器会将这些 HTML 实体当作普通文本显示,而不会将其解析为 HTML 标签或执行其中的脚本,从而保证了页面的安全性。发现双引号被编码了,但是下面的input中的只是将onclick进行了替换。但是,下面的keyword中的value没有被编码,可以考虑从这里入手,发现输入的内容不合法,查看源代码,发现其对输入的内容进行了判断。
XSS靶场
weixin_53860392的博客
03-08 894
1.
xss漏洞(二,xss靶场搭建以及简单利用)
2302_80280669的博客
08-02 791
使用工具:PHP study,dvwa靶场
WEB安全渗透测试-pikachu&DVWA&sqli-labs&upload-labs&xss-labs靶场搭建(超详细
m0_69583059的博客
01-23 3513
对于web安全刚入门的小伙伴来说,漏洞靶场搭建是很重要的,可以通过靶场学以致用,对所学知识点进行巩固练习。下面和我一起搭建5个比较常用的初学者入门靶场,演示搭建环境:win11系统+phpstudy。
XSS靶场搭建
03-12
### 如何搭建XSS(跨站脚本攻击)靶场或测试环境 为了安全有效地研究和学习XSS漏洞,建立一个受控的实验环境至关重要。这不仅有助于理解不同类型的XSS攻击机制,还能提高防御措施的设计能力。 #### 选择合适的平台 对于初学者来说,可以选择已经预配置好的虚拟机镜像或者在线服务来快速启动实践环境。这些资源通常包含了各种已知的安全缺陷供学员练习,其中包括但不限于pikachu靶场[^1]。这样的平台能够提供一站式的解决方案,减少了自行构建所需的时间和技术门槛。 #### 自定义开发简易Web应用 如果希望更深入地探索特定场景下的XSS行为,则建议创建简单的自定义Web应用程序作为测试对象。此过程涉及编写HTML页面并嵌入PHP/Python等服务器端逻辑处理表单提交等功能。通过这种方式,可以根据具体需求调整代码中的潜在风险点用于教学目的。 #### 配置本地开发环境 - 安装必要的工具链如Apache/Nginx Web服务器、MySQL数据库管理系统以及编程语言解释器; - 使用Docker容器化技术简化部署流程,确保每次重启都能恢复到初始状态而不残留任何数据痕迹; - 开启浏览器开发者模式以便实时监控网络请求响应情况,并利用Burp Suite Pro代理抓包分析流量特征; ```bash docker run --name some-mysql -e MYSQL_ROOT_PASSWORD=my-secret-pw -d mysql:tag ``` 上述命令展示了如何基于Docker运行一个带有指定标签版本的MySQL实例,方便快捷地为后续操作准备好了持久层组件。 #### 实施基本防护策略 即使是在内部网段内的演练也应遵循最小权限原则——即只赋予执行当前任务所需的最低限度访问权能。同时启用防火墙规则阻止外部未授权连接尝试接触敏感接口,从而降低意外泄露的风险。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

寒蝉听雨[原ID_PowerShell]

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值