存储型xss环境部署及学习

最新推荐文章于 2025-04-27 22:43:07 发布
最新推荐文章于 2025-04-27 22:43:07 发布
阅读量615 收藏 1
点赞数
分类专栏: Web安全 文章标签: java 数据库 web 安全 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_50644728/article/details/109205992
版权
本文详细介绍了如何部署BlueLotus_XSSReceiver这一XSS数据接收工具,包括下载安装包、创建网站、安装过程。接着讲解了存储型XSS的概念,以及利用BlueLotus_XSSReceiver进行测试的方法,通过在DVWA上模拟攻击,成功执行JS注入并获取网站cookie,展示了存储型XSS的潜在危害。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

BlueLotus_XSSReceiver(XSS数据接收工具的)安装

下载安装包

网上下载bxqtee-BlueLotus_XSSReceiver-master的安装包,并解压到D:\phpstudy_pro\WWW目录下。在这里插入图片描述

创建网站

打开phpstudy,【网站】——>【创建网站】。勾选上创建数据库并设置好数据库的相关信息。修改根目录到bxqtee-BlueLotus_XSSReceiver-master目录下,点击确认。
在这里插入图片描述

打开网站根据引导进行安装

打开网站自动跳转到安装页面,点击安装。
在这里插入图片描述

记住后台登录密码,然后拉到下面点击提交。
在这里插入图片描述

来到登陆页面,输入刚刚看到的后台登录密码,

最低0.47元/天 解锁文章
一个xss漏洞到内网漫游【送多年心血打造的大礼包啦!】
xiaoi123的博客
09-28 584
i春秋作家:jasonx 原文来自:一个xss漏洞到内网漫游【送多年心血打造的大礼包啦!】 前言 渗透过程中,有时候遇某些网站,明明检测到有xss漏洞,但是盲打以后,收到的cookie还是不能登录后台,大多数的原因都是因为对方的cookie关键参数开启了httponly,导致你获取到的cookie参数不全,所以没法登录。 今天和大家分享一次绕过httponly拿后台的思路。 0x01 遇...
存储XSS漏洞-详细教学
weixin_45873667的博客
05-18 2982
存储XSS漏洞: 存储XSS漏洞跟反射形成的原因一样,不同的是存储XSS下攻击者可以将脚本 注入到后台存储起来,构成更加持久的危害,因此存储XSS也称“永久XSS。 实验演示: 看到这是一个留言板,我们随意输入字符,发现输入的字符会存在后台或者存在了配置文件当中。 接下来,我们测试这里是否存在xss漏洞,我们输入一些特殊字符:’”<>?&666666666666,点击提交。 发现我们的输入直接被当作留言显示出来。我们再看页面源码。 我们的输入都被原封不动的输出了,说明没有做
存储 XSS 攻击深度解析:原理、场景、防御与实战案例
最新发布
m0_57836225的博客
04-27 1120
存储 XSS(Stored Cross-Site Scripting),又称持久化 XSS,是危害级别最高的 XSS 攻击类。恶意脚本存储于服务器端:如数据库、文件系统等持久化存储介质。自动触发攻击:用户访问页面时,服务器主动读取并渲染包含恶意脚本的内容,无需依赖用户点击特定链接。攻击链示意图攻击者 ---------> 向服务器提交包含恶意脚本的内容(如评论、发帖)↓服务器 -------> 将恶意内容存储数据库↓。
PHP代码审计——存储XSS(华科企业网站管理系统 -hkqyglxt )
W小哥
03-24 430
一、漏洞描述 在留言内容中,将数组和数据分别进行处理,输入字符时实体化存储数据库中,查看数据时将数据进行还原处理,当管理员查看留言内容时,触发XSS 在我的资源中下载::hkqyglxt-含有存储XSS漏洞的源码包 下载即可 二、代码审计 2.1 查看代码 2.2.1 第一个漏洞文件位置 在 /admin/cms_channel_add.php 文件中 2.2.1.1 代码审计 在图中红框 标记起来的位置,存在问题 以“请填写导航名称”这一句 为例,其余几句参照本例即可 null_back($_PO
php简单模拟基于存储XSS攻击
洞妖呼叫洞妖的博客
04-26 344
原理:将xss攻击代码保存到数据库内,动态显示在web页面上 我们以本地服务器作为被攻击者目标,攻击者服务器为http://phalcon.xyz:8080 1.新建一个文件,命名为message.php <?php session_start(); //连接数据库 try { $con = new PDO('mysql:host=127.0.0.1;dbname=xss_mess...
存储xss_某xxphp网站后台存储XSS漏洞分析
weixin_39755712的博客
11-23 426
简单测试1.1、环境搭建测试环境:在官⽹下载好源码包,解压后访问upload⽬录,根据提示安装好测试环境,即可进⼊后台⻚⾯1.2、测试XSS后台可以新增内容,先试试增加⼀篇⽂章,这⾥框写的是然后发现⻚⾯⾃动跳转到了⽂章列表⻚,并弹出1打开前台⻚⾯,发现也有弹框1,是⼀个存储XSS漏洞源码分析2.1、如何保存到数据库使⽤Seay代码审计系统对⽹站源码进⾏⾃动审计,通过软件提供的Mysq...
YXcms-含有存储XSS漏洞的源码包(1).zip
12-31
YXcms是一个常见的内容管理系统,但在这个特定的版本——"YXcms-含有存储XSS漏洞的源码包(1).zip"中,存在一个严重的安全问题:存储跨站脚本(Stored Cross-Site Scripting,简称存储XSS)漏洞。这种漏洞允许...
存储xss环境部署BlueLotus_XSSReceiver的使用
qq_45970858的博客
04-25 820
下载好bxqtee-BlueLotus_XSSReceiver-master.zip,将其放置在phpstudy中www的目录下,并将其解压 打开phpstudy,创建网站 复制密码,点击提交 安装成功,点击登录 粘贴密码登录
华科企业网站管理系统源码包含存储XSS漏洞
资源摘要信息:"华科企业网站管理系统(hkqyglxt)存在存储XSS漏洞的源码包提供了详细的文件列表,其中可能包含后门、不安全的编程实践导致的存储跨站脚本漏洞。存储XSSWeb应用安全中一种常见的攻击手段,...
存储XSS攻击:成因、挖掘与防御策略
举例来说,如wooyun-2010-07831所示,百度某分站曾出现过存储XSS漏洞,攻击者利用HTML-Context(在HTML文档中)存储恶意代码,这提示了对不同上下文环境下的存储XSS防御的重要性。 存储XSS是一种持续存在的...
XSS数据接收平台——蓝莲花(BlueLotus
p36273的博客
06-17 7740
蓝莲花平台是清华大学曾经的蓝莲花战队搭建的平台,该平台用于接收xss返回数据。用xss数据接收平台的好处:正常执行反射xss存储xss,反射xss在执行poc时,会直接在页面弹出执行注入的poc代码;存储则是,在将poc代码注入用户的系统中后,用户访问有存储xss的地方,也会弹出执行的poc代码,即如下图所示;而使用这种数据接收平台,在用户页面就不会再弹出这个窗口,但在数据接收平台还是可以获取到用户的cookie,以免被用户发觉。
存储Xss成因及挖掘方法
02-21
存储Xss成因及挖掘方法
保姆级 XSS Platform环境搭建_xss平台搭建(2),细节爆炸
2301_76225520的博客
04-16 1069
XSS Platform 平台主要是用作验证跨站脚本攻击。该平台可以部署在本地或服务器环境中。我们可以使用 XSS Platfrom 平台搭建、学习或验证各种类XSS 漏洞。
web ---- 存储 XSS
L0g1c的博客
07-23 1815
Js操纵的主体是浏览器,窃取的当然是浏览器的Cookie,所以有XSS的地方,你如果抓包改Cookie去访问,XSS是吃不到你修改过的Cookie,其实你访问的时候抓包就可以看到,第一次访问正常页面,第二次会GET传参访问XSS平台。以前也搭建过XSS平台,其实后台可以看到所有用户的Cookie,当你用了别人的XSS平台其实就要注意信息泄露这个问题,而且访问XSS平台和XSS页面建议使用无痕,天知道,他们会不会在脚本里面做手脚。...
XSS | 存储 XSS 攻击
Blue17 の 小窝
09-30 2890
从上面的攻击流程中,我们可以看到,存储 XSS 的攻击方式能将恶意代码永久的嵌入一个页面中,所有访问这个页面的用户都将成为受害者。如果我们能够谨慎对待不明链接,那么反射 XSS 攻击将没有多大作为,而存储 XSS 则不同,由于它注入在一些我们信任的页面,因此无论我们多么小心,都难免会受到攻击(谁会一直打开浏览器的源码模式抓包呀)。从上图可以看出来,使用不同的浏览器,在不同的时刻去查看之前的留言,都是能看到相同的内容的。表单,将数据传递给后端,后端接收到用户的数据后,使用自己编写的。
Web安全测试(五):XSS攻击—存储XSS漏洞
ml202187的博客
09-04 2481
结合内部资料,与安全渗透部门同事合力整理的安全测试相关资料教程,全方位涵盖电商、支付、金融、网络、数据库等领域的安全测试,覆盖Web、APP、中间件、内外网、Linux、Windows多个平台。学完后一定能成为安全大佬!《全栈安全测试教程(0基础)》存储XSS,持久化,代码是存储在服务器中的。
DVWA-XSS (Stored)-存储XSS
seanyang_的博客
06-12 2834
跨站点脚本 (XSS)”攻击是一种注入问题,其中恶意脚本被注入到原本良性和受信任的网站上。当攻击者使用 Web 应用程序发送恶意代码(通常以浏览器端脚本的形式)时,就会发生 XSS 攻击, 给其他最终用户。允许这些攻击成功的缺陷非常普遍,并且发生在使用输出中用户输入的Web应用程序的任何地方, 无需验证或编码。攻击者可以使用 XSS 向毫无戒心的用户发送恶意脚本。最终用户的浏览器无法知道脚本不应该被信任, 并将执行 JavaScript。
全局存储XSS漏洞修复
大白菜鸟的博客
12-23 2700
什么是XSS? 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。 跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执...
内网渗透一:利用Xss漏洞进入内网
xysoul的专栏
05-02 8264
0x01:科普 Beef目前欧美最流行的WEB框架攻击平台,全称:The Browser Exploitation Framework Project. Beef利用简单的XSS漏洞,通过一段编写好的JavaScript(hook.js)控制目标主机的浏览器,通过目标主机浏览器获得该主机的详细信息,并进一步扫描内网,配 0x01:科普 Beef目前欧美最流行的WEB框架攻击平台,全称:
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值