单点登录 - Telnet 404https://sso.telnet404.com/cas/login?service=https%3A%2F%2Fwww.seebug.org%2Faccounts%2Flogin%2F%3Fnext%3D%252Fcontribute%252Fvul XSS平台-友情https://xsspt.com/index.php?do=flink XSS平台-学习https://xsspt.com/index.php?do=blist…

一. 前言 决定搭建XSS平台是因为自己想深入学习一下XSS相关的知识,多多进行实践,上网搜索了一下XSS平台有很多,但是总觉得不是很安全,这个毕竟敏感信息要传输到陌生人的服务器上,而且服务器端测试代码存在不可控性,所以决定自行搭建XSS平台做学习之用.在搭建完成后和我的导师徐松进行了交流,发现这款XSS平台除了在GitHub上有作者专业化的说明外,在网上没有任何关于这款XSS平台搭建方面的教程,最后在导师的鼓励和帮助下促成了这篇分享,也顺便记录一下自己所出现的问题方便以后回顾. 1.  什么是…

XSS漏洞学习 简介 xss漏洞,英文名为cross site scripting. xss最大的特点就是能注入恶意的代码到用户浏览器的网页上,从而达到劫持用户会话的目的. 说白了就是想尽办法让你加载一段js代码从而获取cookie等敏感信息进而搞破坏 XSS大致分为三类 反射性XSS:直接构造url来攻击,只能执行一次 DOM型XSS:通过更改HTML的DOM结构来执行js代码 存储型XSS:攻击者将js代码上传到有漏洞的服务器中,所有访问的人都会受到攻击 挖掘地点 最重要的是闭合标签 个人资…

XSS基础学习 By:Mirror王宇阳 什么是XSS XSS攻击是指在网页中嵌入一段恶意的客户端Js脚本代码片段,JS脚本恶意代码可以获取用户的Cookie.URL跳转.内容篡改.会话劫持--等. xss攻击手段本身对服务端没有直接的危害,xss主要是借助网站传播:一般通过留言板.邮件.等其他途径向受害者发送一段恶意的URL,受害者通过访问该恶意URL可能会导致恶意的xss脚步会在受害者的客户端浏览器中执行,实现自己的目的 XSS的攻击类别分为:反射型.存储型.DOM型等三大类攻击类别. 反射…

0x00前言 xss是跨站脚本攻击,利用嵌入js代码达到‘控制’对方浏览器的作用,测试的时候我们是用alert(1)弹窗,而做CTF也好,实际中的漏洞利用也好一般是用xss获取管理员的cookie 0x01xss平台搭建 网上有xss的在线平台,但是别人的总没有自己的用着舒服,于是可以试着手动搭建下属于自己的xss平台 首先要拥有自己的vps,能有公网的ip,才能把目标的信息发送过来 这里搭建推荐用蓝莲花战队的github一个项目:https://github.com/firesunCN/Blu…

1) 简要描述        原理十分简单2333,代码呆萌,大牛勿喷 >_< 2) 基础知识 XSS攻击基本原理和利用方法 Django框架的使用 3) Let's start 0x01        工欲善其事必先利其器,首先我们需要准备编写代码的各种工具和环境,这里不细说.我这里的环境和工具如下: python 3.7.0 pycharm windows 10 mysql 8.0.15 Django 2.1.3        需要用到的第三方库: django pymysql reque…

一.前言 本平台是个人轻量级XSS测试平台,仅作为练习参考. 二.实验环境 服务器操作系统:Centos 7 Web容器:Apache 三.平台搭建过程 安装Apache 安装PHP 安装Git工具 从GitHub克隆XSS平台源码 # 删除默认网站内容 rm  -rf  /var/www/* # 创建新的网站目录 mkdir  /var/www/xss 从GitHub克隆xss测试源码(https://github.com/firesunCN/BlueLotus_XSSReceiver.git…

 xss平台搭建 1.申请一个云主机来进行建站:149.28.xx.xx 2.安装lnmp: wget http://soft.vpser.net/lnmp/lnmp1.5.tar.gz -cO lnmp1.5.tar.gz && tar zxf lnmp1.5.tar.gz && cd lnmp1.5 && ./install.sh lamp  如果想安装lanmp,就把最后的“lamp”修改为“lanmp” 如果安装lamp建议安装如下图所示版本配置:…

“百度杯“CTF比赛 九月场 ###XSS平台   看了别人的wp才知道这里需要变数组引起报错然后百度信息收集,这一步在实战中我觉得是很有作用的,get到.       这里取百度rtiny,看别人wp上说这里是因为前面的目录很正常,这个rtiny看起来有问题,就去百度.. 百度第一栏直接拿下源码,接下来就是代码审计.这几天做题老是遇到pythonweb框架的服务器,所以直接去康啦康教程 这里直接推荐一篇文章 http://shouce.jb51.net/tornado/   代码审计 这里因为…

XSS常用语句及编码绕过 XSS常用的测试语句有: <script>alert(1)</script> <img src=x onerror=alert(1)> <svg onload=alert(1)> <a href=javascript:alert(1)> 常见的XSS的绕过编码有JS编码.HTML实体编码和URL编码 JS编码 JS提供了四种字符编码的策略,如下所示. 三个八进制数字,如果个数不够,在前面补0,例如"e"…