XSS个人学习 之网页篡改

最新推荐文章于 2024-09-13 09:25:18 发布
最新推荐文章于 2024-09-13 09:25:18 发布
阅读量358 收藏
点赞数
文章标签: xss 学习 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_57774303/article/details/134876456
版权

如图所示,我们的替换取得了成功

现在我们将链接修改一下,看是否会成功,

<script>
window.onload = function() {
var link=document.getElementsByTagName("a");
for(j = 0; j < link.length; j++) {
   link[j].href="《原神》官方网站-全新4.2版本「罪人舞步旋」上线!";}
}
</script>

为什么这个行,我那个不行啊

更改成功

<script>
window.onload = function() {
var link=document.getElementsByTagName("a");
for(j = 0; j < link.length; j++) {
   link[j].href="https://www.bilibili.com/video/BV1Ej411a7aC/?spm_id_from=333.1007.tianma.1-1-1.click&vd_source=0ea44b920ed1fd1399137d5f52bd358d";}
}
</script>
这是XSS篡改链接的代码

成功了

页面跳转成功

通通被替换

用beef-xss生成恶意的链接

如图所示

注意 leafpad是文本软件

由此可知 kali机器的ip地址是192.168.56.129

注意如果想要输入的xss语句成功反弹到beef-xss上就必须在kali的攻击机上的浏览器访问八个页面进行语句的插入

setroolkit伪造网站

启动setrookit

选择1 

选择3.

选择2进行站点克隆

直接进行回车

输入要克隆的站点地址  如图所示是一个 我们教学的地址

如图所示

可以看到本机IP地址

xss跳转克隆网站

发现不能输入了 去控制台更改编写的长度

将这里更改长度 

我们看到了用户的账户和密码

登陆完跳转成功

基于XSS网页篡改网页劫持,网页钓鱼
qq_40334963的博客
11-04 6843
基于XSS网页篡改网页劫持,网页钓鱼 192.168.80.174服务器上存在漏洞页面xss.php 192.168.80.160服务器上有调用的js xss.php: <?php $op = empty($_GET['op']) ? 'Not entered' : $_GET['op']; echo $op; ?> 浏览器地址栏构建简单的反射型xss判断是否存在xss htt...
XSS篡改网页链接
qq_43776408的博客
07-27 1434
JS代码讲解 第一行字面意思 windows:窗口 onload:加载 先把a标签内容都存到link中 然后把a标签的链接都改为其他URL XSS篡改链接 把代码全复制到XSS反射框框中 然后你随便点底下某一个链接 然后查看源代码 发现链接被替换为attacker了 你也可以用存储型XSS试验 只不过用反射性你在重进一次网站就消失了 而存储型是永久存在 篡改链接指向流量URL 其实就是将刚才attacker链接改为其他的 比如微博链接 篡改链接指向恶意URL 需要用到kali的beef ...
Web应用安全:XSS篡改页面(实验).docx
06-19
Web应用安全:XSS篡改页面(实验).docx
XSS漏洞利用手段/篡改链接实战/beef生成恶意网页
ChenD的学习笔记
10-10 1412
XSS篡改网页链接,beef生成恶意脚本,搭建恶意网页,劫持目标主机
XSS篡改网页链接学习记录
weixin_50597969的博客
04-15 998
XSS篡改网页链接学习记录JS代码讲解XSS篡改链接篡改链接指向流量URL篡改链接指向恶意URL JS代码讲解 window.onload 当窗口加载时,执行匿名函数。 使用for循环遍历所有获得的链接a标签。 <script> window.onload = function(){ var link=document.getElementsByTagName("a"); //获取a标签,由于页面不一定只有一个a标签,link也可是个数组 for(j=0;j<link.length;j
白帽子讲Web安全 第三章 跨站脚本攻击(XSS
weixin_30419799的博客
10-25 300
XSS----Cross Site Script; XSS攻击,通常指黑客通过“HTML注入”篡改网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。 1、XSS根据效果划分三类: 1)反射型XSS(非持久型XSS):简单的把用户输入的数据“反射”给浏览器。黑客往往需要诱导用户点击一个恶意链接,才能攻击成功。 2)存储型XSS(持久型XSS):存储型会把用户输入...
xss漏洞学习小结,详不详细你说了算
MSB_WLAQ的博客
10-09 932
xss漏洞小结 一、初识XSS 1、什么是XSS XSS全称跨站脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览改页时,这些潜入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如 coo.
XSS漏洞
2401_83181186的博客
04-25 1156
XSS漏洞介绍以及beef,waf简介
XSSme平台:深入学习与探索XSS漏洞
XSS平台(如本例中的“XSSme平台”)是一个安全测试工具,它可以帮助安全研究人员或测试人员更深入地学习XSS漏洞,理解其危害,并掌握防护措施。利用XSS平台,用户可以进行以下操作: 1. 窃取Cookie:通过恶意脚本...
Antisamy(XSS防御)的学习
qq_461491877的博客
01-16 3661
Antisamy(XSS防御)的学习 此教程基于黑马程序员Java品达通用权限项目,哔哩哔哩链接:https://www.bilibili.com/video/BV1tw411f79E?p=55 1.XSS介绍 XSS:跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSSXSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。 XSS
XSS漏洞检测和利用
2301_80127209的博客
04-25 2087
通过构造一些特殊的xss poc,在可能出现XSS漏洞测试点将这些语句传入网站,我们就能过够相对轻松的探测出XSS漏洞。
XSS攻击修改服务器的代码,Web安全系列之XSS攻击
weixin_36202642的博客
08-11 1743
什么是XSS攻击XSS(Cross Site Scripting)中文名称是:跨站脚本攻击。XSS重点不在跨站,而在于执行的脚本。XSS的原理是指攻击者利用网站的安全漏洞,向web页面中插入一段恶意的script代码,当用户浏览网页时,执行脚本,攻击者就可以非法获取用户的敏感信息(如cookie、账号密码等),从而达到攻击的目的。XSS的类型从攻击代码的工作方式可以分为三个类型:1、反射型XSS。...
XSS攻击修改服务器的代码,XSS攻击的定义,类型以及防御方法
m0_70655343的博客
06-24 754
XXS攻击全称跨站脚本攻击,是一种在Web应用中的计算机安全漏洞,它允许恶意Web用户将代码植入到提供给其他使用的页面中。有哪几种类型?经常见到XSS攻击有三种:反射XSS攻击、DOM-based型XSS攻击以及储存型XSS攻击。1、反射型XSS攻击反射性XSS一般是攻击者通过特定手法(如电子邮件),诱使用户去访问一个包含恶意代码的URL,当受害者点击这些专门设计链接的时候,恶意代码会直接在受害主机上的浏览器上执行,反射型XSS通常出现在网站搜索栏,用户登入口等地方,常用来窃取客户端或进行钓鱼欺骗。2、存储
Web安全-XSS-基础03
qq_45927819的博客
02-14 683
利用XSS篡改网页链接一、JS代码实现篡改示例二、XSS 篡改链接三、利用beef篡改链接指向恶意URL 一、JS代码实现篡改示例 如下代码
熊海CMS网站SQL注入、XSS攻击、cookie篡改
m0_63917373的博客
11-01 2255
熊海CMS sqlmap工具 SQL注入 XSS cookie篡改
如何修改网页中的文本内容改成自己希望的数
热门推荐
任聪聪的博客
12-05 2万+
本篇文章主要讲解,通过浏览器命令和浏览器自带的F12开发者工具,进行修改网页内容的方法教程 日期:2021年12月5日 作者:任聪聪 一、通过F12开发者工具进行修改 进入方式汇总: 1.右击鼠标,显示菜单找到审查 2.通过快捷键F12进入,笔记本需要先关闭fnlk功能键。 开发者工具介绍 说明: 1.表示选择元素,点击后可以选择文本的元素所在地 2.表示显示方式,手机还是电脑 3.表示div元素,点击后可以展开,对div内的html和文本进行编辑。 双击文本,即可进行修改成自己想要的,但是刷新后.
了解XSS和CSRF攻击与防御
m0_66268916的博客
03-27 1395
攻击者诱使用户访问一个恶意网页或点击一个恶意链接,在用户浏览器中发起一次HTTP请求,该请求会自动携带用户在其他网站中的身份认证信息,如Cookie等。DOM-based XSS 攻击: 通过修改页面的DOM结构来触发漏洞,这比如说客户端从url中提取数据并且在本地执行,如果用户在客户端输入的数据包含了恶意的js脚本的话,但是这些脚本又没有做过任何过滤处理的话,那么我们的应用程序就有可能受到DOM-based XSS攻击。用户在浏览该页面时,浏览器会执行该恶意代码,从而使攻击者得以窃取用户信息。
XSS漏洞处理
最新发布
yuechuzhixing的博客
09-13 838
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值