搭建XSS (跨网站指令码) 测试平台
跨网站指令码(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程式的安全漏洞攻击,是代码注入的一种。它允许恶意使用者将程式码注入到网页上,其他使用者在观看网页时就会受到影响。这类攻击通常包含了HTML以及使用者端脚本语言。
XSS测试平台是测试XSS漏洞获取cookie并接收Web页面的平台,XSS可以做JS能做的所有事情,包括但不限于窃取cookie、后台增删文章、钓鱼、利用XSS漏洞经行传播、修改网页代码、网站重定向、获取用户信息(比如浏览器信息、IP地址)等。
书中使用的是基于xsser.me的源码, 搭建过程:在本书的同步网站下载相关文件解压,然后将其放置在用来搭建XSS平台的网站目录下(C:\wamp\www),安装过程如下:
- 在phpmyadmin界面,新建一个XSS平台的数据库: xssplatform,设置其用户名和密码。
修改目录C:\wamp\www\XSS目录下config.php中的配置信息
修改数据库连接字段,包括用户名、密码和数据库名
将注册配置中的invite改为normal
修改URL配置为自己的url配置
进入mysql管理中的phpMyAdmin,选择XSS平台的数据库,导入源码包中的xssplatform.sql文件,然后执行如下sql指令,将数据库中原有的URL地址修改成自己使用的URL
UPDATE oc_module SET code=REPLACE(code,‘http://xsser.me’,‘http://127.0.0.1/xss’);
同时,也需要将authtest.php中的网址替换为自己的URL:
注意,如果报Not Found的错误,尝试以下解决方案:
- 将X:\wamp\www\xss\templates_c目录下xxxxxxx register.html.php 文件中第80行:
提交注册`
改为:
提交注册`
- 将X:\wamp\www\xss\themes\default\templates目录下的register.html文件中第68行:
提交注册
改为:
提交注册
最后清空浏览器
注册并登录成功
将数据库中 oc_user 表的用户 adminLevel值改为1,就可以管理邀请码了:
搭建XSS (跨网站指令码) 测试平台相关推荐
- dvwa如何打开_一篇文章让你搭建自己的Web安全测试平台(Dvwa)
如果要学习Web安全测试,不能纸上谈兵,需要尝试和实践.只有在不断的尝试和实践中,你的技术才会有本质的提升.这篇文章告诉你,如何在自己的电脑上搭建一个Web安全测试平台(Dvwa). 由于Dvwa是用 ...
- 手把手教您搭建一个跨境电商平台
1 跨境电商网站开发 通过进行前期的调研分析,为企业搭建跨境电商商城平台,多渠道布局(PC.微信.app.小程序),实现数据一体化统一管理.跨境电商商城平台适用自营和招商入驻模式,可丰富产品品类,甄选 ...
- WEB安全的防御--介绍XSS跨网站脚本[wiki]
跨网站脚本 维基百科,自由的百科全书 跳转至: 导航. 搜索 本条目可通过翻译英语维基百科的相应条目来获得改善. 请在翻译前点击右边的"显示▼"了解重要说明.显示▼ 浏览英语条目的 ...
- 前后端怎么连接_如何搭建前后端分离的测试平台
1 测试平台框架 1.前端:LayUi 2.后端:springBoot 3.数据库:mysql 2 部署环境 1.由于是前后端分离的项目,所以前后端两个工程需要我们单独部署: 2.本次部署环境: K8 ...
- 搭建属于自己的云测试平台
最近老大给了一个资料让研究.需要搭建一个平台,把公司所有的测试机集中在一起管理,谁需要用的时候,直接在web页面使用.省去了到处找别人借手机等问题. 下面先介绍以下这个平台. STF(Smartpho ...
- 跨网站脚本攻击(XSS)的原理与防范对策
摘要:随着计算机网络技术的迅速发展,网络安全问题已变得越来越受到人们的重视,网络攻击形式多种多样,很多蠕虫病毒.木马病毒等植入到某些网页中,给网络用户带来了很大的安全隐患.其中XSS跨网站脚本攻击,恶 ...
- 如何检测网站是否存在XSS跨站漏洞
为了防止发生XSS, 很多浏览器厂商都在浏览器中加入安全机制来过滤XSS. 例如IE8,IE9,Firefox, Chrome. 都有针对XSS的安全机制. 浏览器会阻止XSS.最好使用ie7来测试. ...
- 浅谈跨网站脚本攻击(XSS)的手段与防范(简析新浪微博XSS攻击事件)
本文主要涉及内容: 什么是XSS XSS攻击手段和目的 XSS的防范 新浪微博攻击事件 什么是XSS 跨网站脚本(Cross-sitescripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一 ...
- XSS测试平台搭建(超详细)
1.拉取镜像 docker pull daocloud.io/library/mysql:5.6 2.运行mysql服务,密码为root,端口号为3306 docker run --name mysq ...
最新文章
- Rocksdb 的 BlobDB key-value 分离存储插件
- [POJ-3237] [Problem E]
- jquery插件的写法
- 在redhat6.3 安装oracle 11.2.0.1遇到的错误
- Ubuntu使用技巧(二)
- java xml 默认名称空间 xpath_创意产业园办公空间设计
- 广州海珠区计算机学校,2019广州海珠区电脑派位和对口直升表
- 徐汉字java字符_汉字徐的拼音部首-汉字徐的笔画和解释-汉字徐在线查新华字典...
- 【leveldb】资料
- 发现一篇不错的学习隐马尔可夫模型的文章
- Windows系统服务器中安装Redis服务
- python when库_python 库收集
- Unity2019配置ARCore环境
- Qt 获取控件位置坐标,屏幕坐标,相对父窗体坐标
- 如何 DIY 一台属于你自己的电脑?
- 求助,nodejs 在安装threads_a_gogo时报错
- (全)Docker安装+人脸比对算法服务(win10)
- 项目管理工具dhtmlxGantt甘特图入门教程(八):数据加载(二)
- 男装品牌十如仕官宣谢霆锋为品牌代言人
- kingcms php 列表页bug,kingcms最新版sql注入漏洞