将利用代码插入到存在XSS漏洞的URL后,检查浏览器缓存加载文件。发现浏览器成功执行XSS的利用代码 然后如果对方中招了,那么你的XSS平台就会有收到对方的信息。 回到XSS平台,可以看到我们已经获取了信息,其中包含来源地址、cookie、IP、 浏览器等,如果用户处于登录状态,可修改cookie并进入该用户的账户。 XSS漏洞修复建议 ...
XSS平台实操——上局 1.首先我们进入到XSS平台==>http://test.ctf8.com/ 对于我们搞web安全或者一些开发者来讲,我们打开开发者调试工具F12 分析这个网站,首先我们可以从网站的URL入手,看到提示为payload的长度为4,XSS是跨站脚本攻击,就是我们通常会在请求体,请求参数进行一些脚本植入,或者调用DOM,BOM,来获取相关...
4、从GitHub克隆XSS平台源码 #删除Apache默认页面 rm -Rf/var/www/* #在www目录下创建网站文件夹 mkdir/var/www/xss #从GitHub上获取XSS平台源码 gitclone https://github.com/firesunCN/BlueLotus_XSSReceiver.git /var/www/xss/ #赋予权限 chmod –R777 /var/www/xss/ 5、配置Apache #新建虚拟主机配置文...
访问http://ip/BlueLotus_XSSReceiver/admin.php登录后台 点击安装直接在页面上进行安装 需要修改的地方已经标注了 我们修改好了之后直接登录,可以输入http://ip/BlueLotus_XSSReceiver/login.php 现在就直接可以使用了 三、 XSS平台的使用 注意: 以下的127.0.0.1要修改成自己本机的ip地址,因为你如果要获得别人的cook...
1、进入进入MySQL管理中的PHPMyAdmin界面,新建一个XSS平台的数据库 2、修改config.php中的数据库连接字段,包括用户名、密码和数据库名,访问XSS平台的URL地址,将注册配置中的invite改为normal,要修改的配置如下 3、进入MySQL管理中的phpMyAdmin,选择XSS平台的数据库,导入源码包中的xssplatform.sql文件,然后执行以下SQL命...
配置一个截图功能的 XSS 项目你只需要先引入 JQ、html2canvas 模块,然后在项目代码中写如下代码就可以...
一、下载平台源码、拷贝到我们网站的根目录 https://github.com/anwilx/xss_platform 二、修改相关参数 1、config.php,数据库用户、密码、还有xss平台的访问路径 2、导入sql文件,测试的时候没法导入,所以就手动创建了数据库 新建数据库 打开xssplatform.sql,将里面的sql语句执行一遍 ...
试验中,使用的xss平台是xsser 直接创建项目:在网站有xss的地方插入项目中的代码,执行的时候会把对应的信息发送到平台上。具体看平台上的说明。 基础认证钓鱼模块: 插入xss后,用户访问的时候会弹出一个登陆框,用于输入用户名和密码。 如果用户粗心地输入了自己的账号和密码,那么就可以在平台上看到输入的信息。
一、xss平台搭建 1、网络平台,注册登录,直接使用 2、用pikachu自带平台(没有网上的好用) 二、xss危害详解 http://192.168.14.48:78/pikachu/vul/xss/xss_reflected_get.php(复制这个路径,打开我们要用到的工具) 1、①:劫持用户
一、XSS平台安装 1、启动phpstudy打开网站根目录 2、把XSS平台源码放到网站根目录,解压到当前文件夹 3、启动PHP和Apache服务 4、进入XSS平台安装页面 在浏览器URL栏输入: http://127.0.0.1/BlueLotus_XSSReceiver-master/install.php 修改过端口号在ip的后面加上端口号 ...