程序员经验分享-hwhale

小白学习kali linux day5(XSS漏洞学习)

2023-11-10

 BEEF工具介绍

BEEF工具针对浏览器进行渗透测试,可以进行XSS漏洞攻击和利用。

首先安装beef如下:

首先安装beef-xss工具:

 之后启动beef工具:绿色框框里为beef密码,可以为123.

下图框框内的表示xss漏洞的钩子,ip应该为你的kali的ip地址。

 上图的beef-xss打开失败,可以给kali换源,执行vim /etc/apt/sources.list,再分别执行sudo apt-get update和sudo apt-get upgrade两个命令,我换的阿里源。然后执行apt remove beef-xss把beff-xss卸载,再apt-get install beef-xss执行重装。安装成功后再执行beef-xss启动,如下图所示:

 同时还会打开一个beef-xss工具网页如下:

 建议这里改成自己kali机的ip,因为是你的kali机进行xss攻击。

若忘记密码,则查看其配置文件:vim /etc/beef-xss/config.yaml /

登录成功!下面可以进行xss攻击了!

下面打开phpstudy和dvwa靶机平台(该靶场平台的搭建教程:DVWA靶场环境搭建_dvwa靶场搭建-CSDN博客,搭建的时候一定要注意phpstudy的密码和config.inc.php文件的密码一致。)并输入钩子网站:

 这时kali机会感受到有人使用了钩子:

下面创建警示框:

然后就可以查看获取的cookie,xss攻击成功!

 

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

Xss

学习

安全

小白学习kali linux day5(XSS漏洞学习) 的相关文章

  • 网络安全:绕过 MSF 的一次渗透测试

    这次渗透的主站是 一个 Discuz 3 4 的搭建 违法招 piao 网站 配置有宝塔 WAF 用 Discuz ML 3 X 的漏洞进行攻击 但是没有成功 发现主站外链会有一个发卡网 引导人们来这充值 是 某某发卡网 而且域名指向也是主

  • Codeigniter - 基于帖子禁用 XSS 过滤

    我正在尝试在网站后面设置一个 CMS 但是每当发布数据时 a href 其中帖子数据被废弃 input gt post content true 打开它 但如何关闭它 感谢大家 PVS 如果您想更改默认行为post 方法 您可以扩展核心输入

  • addslashes() 可以安全地防止 HTML 属性中的 XSS 吗?

    我不得不开发一个以前的开发人员留下的旧网络应用程序 它使用addslashes 来防止HTML属性上的XSS 这是一个例子 这是否容易受到 XSS 攻击 有没有什么方法可以让 javascript 在 value 属性中运行 就像在 src

  • 你的服务器还安全吗?用户数据是否面临泄露风险?

    一系列严重的网络安全事件引起了广泛关注 多家知名公司的服务器遭到黑客挟持 用户的个人数据和敏感信息面临泄露的风险 这些事件揭示了网络安全的脆弱性和黑客攻击的威胁性 提醒着企业和个人加强对网络安全的重视 一 入侵案例 1 1 蔚来数据泄露 1

  • 手把手教你使用HarmonyOS本地模拟器

    我们通过下面的动图来回顾下手机本地模拟器的使用效果 本期 我们将为大家介绍HarmonyOS本地模拟器的版本演进 并手把手教大家使用HarmonyOS本地模拟器 一 本地模拟器的版本演进 2021年12月31日 经过一个版本的迭代优化 随D

  • 以 XSS 安全方式替换 AJAX 响应中的选项

    从内部succcess我的 AJAX 响应的方法 我的目标是以 XSS 安全的方式执行以下操作 删除所有现有的options在选择框中 替换同一选择框中的选项 这是删除和替换选项的一种方法 但我对这种策略完全安全的 XSS 没有很高的信心

  • 防御 XSS 攻击?

    我对 PHP 很陌生 但我听说 XSS 漏洞很糟糕 我知道它们是什么 但如何保护我的网站 为了防止 XSS 攻击 您只需正确检查和验证您计划使用的所有用户输入的数据 并且不允许从该表单插入 html 或 javascript 代码 或者您可

  • V-html只用于文本,安全吗?

    我现在在关于原始 HTML 的 Vue 文档 https v2 vuejs org v2 guide syntax html Raw HTML说明我们可以使用v html渲染一些内部 html 我承认这是合法且最简单的技巧 但由于我很担心

  • 可以在 CodeIgniter 中“重复”xss-clean 数据吗?

    以下是在 Codeigniter 中清除 XSS 数据的方法 set global xss filtering在配置中TRUE use xss clean use xss clean作为验证规则 将第二个参数设置为TRUE in this

  • 在 Struts 2 中使 ${} 运算符 XSS 安全(与 Tapestry 相同)

    正如中提到的http www disasterarea co uk blog xss vulnerability in web frameworks 2 http www disasterarea co uk blog xss vulner

  • 在Golang中实现XSS防护

    我正在使用 Golang 构建 API Rest 我有一个包含很多字段 超过 100 个 的结构 因此我使用以下命令将来自客户端的值分配给该结构gorilla schema效果很好 现在 我想避免用户在任何字符串字段中插入 Javascri

  • 使用 Python 清理用户输入

    针对基于 Python 的 Web 应用程序清理用户输入的最佳方法是什么 是否有一个函数可以删除 HTML 字符和任何其他必要的字符组合以防止XSS http en wikipedia org wiki Cross site scripti

  • 将准备好的语句包装在函数中[重复]

    这个问题在这里已经有答案了 我一直在阅读有关 SQL 注入的文章 并决定修改我的代码以防止 SQL 注入 例如 我有一个输入 我将其值插入到数据库中 最初 我对注射的防范是这样的 function test input data data

  • javascript html5 使用来自不同域的图像绘制图像

    所以我有以下代码 var element document getElementById myCanvas var width element width var height element height var context elem

  • 将 html 内容从 iframe 复制到 div ( ajax )?

    假设我的浏览器加载了一个 Iframe 我可以使用ajax将test html的内容加载到html主页面的div中吗 这个想法是我的解决方案 因为我实际上正在尝试克服将 ajax 提交到远程主机的限制 该计划是生成具有 0 大小 ifram

  • HTMLPurifier 破坏图像

    我试图根据 WYSIWYG CK 编辑器 的用户输入运行 HTMLPurifier 但图像损坏 未过滤的输入 img alt laugh src lib ckeditor plugins smiley images teeth smile

  • 如何从 iframe 读取父页面的页面标题?

    我有一个页面调用另一个页面 在另一台服务器上 我希望该页面从父页面读取标题 这可能吗 或者这是否存在一些安全问题 您无法像这样跨服务器进行通信

  • 默认情况下,ASP.NET MVC 4 是否需要额外的 XSS 处理

    默认情况下 ASP NET MVC 4 会忽略帖子消息中的 HTML 输入 如果我没有明确接受 HTML 是否需要编写任何代码来保护我的网站免受 XSS 攻击 我不会使用 AllowHtml or ValidateInput false 我

  • html() 与 innerHTML jquery/javascript 和 XSS 攻击

    我正在对我自己的代码测试 xss 攻击 下面的示例是一个简单的框 用户可以在其中输入他想要的任何内容 按 测试 后按钮 JS 会将输入字符串显示为两个 div 这是我为了更好地解释我的问题而制作的示例

  • 发布后忽略基本标签

    在 Chrome 上我收到错误Refused to execute a JavaScript script Source code of script found within request 在发布包含域名的数据后 另请注意任一页面上都缺

随机推荐

  • 新老域名更替时的页面跳转

    不少站长都有换域名的经历 新买的www xxx com的域名和老域名都已经绑定在空间上了 但老域名总是不敢轻易拿掉 更换的话 跟老域名相关的所有链接都将失效 出现404的页面非常不友好 用户也将找不到原来的内容 其实用JS跳转功能可以帮站长

  • 机器学习零基础?手把手教你用TensorFlow搭建图像识别系统

    转 http www leiphone com news 201701 Y4uyEktkkwb5YhJM html http www leiphone com news 201701 2tH3DgLmsGhnDd8D html 导语 这是W

  • 基于nb-iot和arduino的气象站(一)

    基于nb iot和arduino的气象站 一 温湿度和紫外线传感器 上一篇已经介绍了项目的大概情况 这一篇先讲温湿度传感器和紫外线传感器的使用 一 温湿度传感器 我使用的温度传感器为DHT21 DHT21数字温湿度传感器是一款含有已校准数字

  • [Java基础系列第5弹]Java多线程:一篇让你轻松掌握并发编程的指南

    多线程是一种编程技术 它可以让一个程序同时执行多个任务 从而提高程序的性能和效率 但是 使用Java多线程也不是一件容易的事情 它涉及到很多复杂的概念和问题 如线程安全 同步 锁 原子类 并发集合 生产者消费者模式 线程池模式 Future

  • 企业级Vue路由角色权限应该怎么做?

    角色权限 角色权限 简单来说就是登录的用户能看到系统的哪些页面 不能看到系统的哪些页面 一般是后台管理系统才会涉及到如此复杂的角色权限 对于 vue 技术栈 实现角色权限一般有两种方式 第一种是利用 beforeEach 全局前置守卫 第二

  • Unity的初次接触(一)

    Unity界面介绍 首先当我们安装完成Unity后 会呈现出这样的界面 第一步是点击右上角的New按钮 创建新的项目 然后你会看到这个界面 从左到右 从上到下依次是 项目名称 选择模板 项目保存的路径 添加资源包 创建这个项目的组织 启动u

  • idea中Vue的v-on报错

    虽说并不影响代码的执行结果 但是作为强迫症的你们肯定很不爽 解决方法 直接添加 只针对v on 其他还需添加 xmlns v on http www w3 org 1999 xhtml Settings gt Inspections gt

  • React 环境搭建以及创建项目工程(二)

    创建工程 首先创建一个工程 npx create react app weibo cd移动到当前创建的文件下 cd weibo 安装 React 路由 npm install react router react router dom 5

  • 微信小程序实现保存图片到本地

    wxml代码

  • PySyft中model.get()方法解释

    最近在看联邦学习相关内容 上手了PySyft框架 该框架相当于是在Pytorch深度学习框架上扩展的第三方API 对我经常使用Pytorch深度学习框架的人来说再合适不过 然后在网上找各种帖子学习了一点基础的东西 其中有一篇比较经典的帖子是

  • 算法(1)---八大排序算法

    一 选择排序 定义 从待排序的数据中 按指定的规则选出某一个元素 再依规定交换位置后达到排序的目的 核心思想 从全部序列中选取最小的 与第0个元素交换 然后从第1个元素往后找出最小的 与第一个元素交换 再从第2个元素往后选取最小的 与第二个

  • oracle 查询表空间所有表、及表所有的表空间

    查询表空间所有表 select table name from all tables where TABLESPACE NAME 表空间 表空间名字一定要大写 查询表所在的表空间 select from user tables where

  • Iframe postMessage 日志

    postMessage catcher 之前工作需要接入不同 iframe 需要使用 postMessage 来进行通信 本地开发还好可以方便打印相互通信的数据 就是线上有些麻烦 不好直接观察发送和接收的数据是怎么样的 所以写了个 chro

  • 设置Linux服务器登录密码过期时长

    设置Linux服务器登录密码过期时长 登录服务器时 提示登录密码过期 必须修改密码重新登录 You are required to change your password immediately password aged You mus

  • Python-Dataframe使用已知数据填补空值

    作为大气遥感的一员 研究的对象主要是排放栅格图像 因此本文主要针对栅格图像来对其NaN空值进行有选择的填补 在处理数据时遇到一个问题 当一个栅格图像只有很小一部分存在有用值 可能10000多个栅格区域只有300个有有效值 此背景下给一个假设

  • 动手篇

    简介 本文讲述如何在麒麟v10 SP2安装达梦8版本数据库 安装操作系统 麒麟v10 SP2 root 192 bin uname a Linux 192 168 220 110 4 19 90 24 4 v2101 ky10 x86 64

  • 消息不能及时回复,见谅

    由于公司网络原因 无法登陆具有上传功能的平台比如百度云 CSDN等 所以消息多半无法及时回复 见谅 博客及记录包括转载 摘录内容本人暂时在github上 内容如果涉及你的授权请及时与我联系 附github https github com

  • plsql Developer 设置 优化

    配置文件 PL SQL Developer 安装目录中的 params ini 文件 配置文件中的参数也是命令行参数 同时设置的话 命令行参数优先 这几个是可能会用的 nologon userid user password db inst

  • 版本号命名规范

    最近写文档被完虐 啊摔 老师不满意 还不好意思直接批评我 搞得自己很羞愧 所以我决定了要加强一下写作技能 首先从文件管理方面进行改进 首先就是版本号的管理规范 转自百度文库http wenku baidu com view 0f7d6b24

  • 小白学习kali linux day5(XSS漏洞学习)

    BEEF工具介绍 BEEF工具针对浏览器进行渗透测试 可以进行XSS漏洞攻击和利用 首先安装beef如下 首先安装beef xss工具 之后启动beef工具 绿色框框里为beef密码 可以为123 下图框框内的表示xss漏洞的钩子 ip应该

热门标签