跨网站指令码(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程式的安全漏洞攻击,是代码注入的一种。它允许恶意使用者将程式码注入到网页上,其他使用者在观看网页时就会受到影响。这类攻击通常包含了HTML以及使用者端脚本语言。

XSS测试平台是测试XSS漏洞获取cookie并接收Web页面的平台,XSS可以做JS能做的所有事情,包括但不限于窃取cookie、后台增删文章、钓鱼、利用XSS漏洞经行传播、修改网页代码、网站重定向、获取用户信息(比如浏览器信息、IP地址)等。
书中使用的是基于xsser.me的源码, 搭建过程:在本书的同步网站下载相关文件解压,然后将其放置在用来搭建XSS平台的网站目录下(C:\wamp\www),安装过程如下:

  • 在phpmyadmin界面,新建一个XSS平台的数据库: xssplatform,设置其用户名和密码。

    修改目录C:\wamp\www\XSS目录下config.php中的配置信息
    修改数据库连接字段,包括用户名、密码和数据库名
    将注册配置中的invite改为normal
    修改URL配置为自己的url配置

进入mysql管理中的phpMyAdmin,选择XSS平台的数据库,导入源码包中的xssplatform.sql文件,然后执行如下sql指令,将数据库中原有的URL地址修改成自己使用的URL

UPDATE oc_module SET code=REPLACE(code,‘http://xsser.me’,‘http://127.0.0.1/xss’);

同时,也需要将authtest.php中的网址替换为自己的URL:


注意,如果报Not Found的错误,尝试以下解决方案:

  1. 将X:\wamp\www\xss\templates_c目录下xxxxxxx register.html.php 文件中第80行:
    提交注册`

改为:
提交注册`

  1. 将X:\wamp\www\xss\themes\default\templates目录下的register.html文件中第68行:
    提交注册

改为:
提交注册

最后清空浏览器
注册并登录成功

将数据库中 oc_user 表的用户 adminLevel值改为1,就可以管理邀请码了:

搭建XSS (跨网站指令码) 测试平台相关推荐

  1. dvwa如何打开_一篇文章让你搭建自己的Web安全测试平台(Dvwa)

    如果要学习Web安全测试,不能纸上谈兵,需要尝试和实践.只有在不断的尝试和实践中,你的技术才会有本质的提升.这篇文章告诉你,如何在自己的电脑上搭建一个Web安全测试平台(Dvwa). 由于Dvwa是用 ...

  2. 手把手教您搭建一个跨境电商平台

    1 跨境电商网站开发 通过进行前期的调研分析,为企业搭建跨境电商商城平台,多渠道布局(PC.微信.app.小程序),实现数据一体化统一管理.跨境电商商城平台适用自营和招商入驻模式,可丰富产品品类,甄选 ...

  3. WEB安全的防御--介绍XSS跨网站脚本[wiki]

    跨网站脚本 维基百科,自由的百科全书 跳转至: 导航. 搜索 本条目可通过翻译英语维基百科的相应条目来获得改善. 请在翻译前点击右边的"显示▼"了解重要说明.显示▼ 浏览英语条目的 ...

  4. 前后端怎么连接_如何搭建前后端分离的测试平台

    1 测试平台框架 1.前端:LayUi 2.后端:springBoot 3.数据库:mysql 2 部署环境 1.由于是前后端分离的项目,所以前后端两个工程需要我们单独部署: 2.本次部署环境: K8 ...

  5. 搭建属于自己的云测试平台

    最近老大给了一个资料让研究.需要搭建一个平台,把公司所有的测试机集中在一起管理,谁需要用的时候,直接在web页面使用.省去了到处找别人借手机等问题. 下面先介绍以下这个平台. STF(Smartpho ...

  6. 跨网站脚本攻击(XSS)的原理与防范对策

    摘要:随着计算机网络技术的迅速发展,网络安全问题已变得越来越受到人们的重视,网络攻击形式多种多样,很多蠕虫病毒.木马病毒等植入到某些网页中,给网络用户带来了很大的安全隐患.其中XSS跨网站脚本攻击,恶 ...

  7. 如何检测网站是否存在XSS跨站漏洞

    为了防止发生XSS, 很多浏览器厂商都在浏览器中加入安全机制来过滤XSS. 例如IE8,IE9,Firefox, Chrome. 都有针对XSS的安全机制. 浏览器会阻止XSS.最好使用ie7来测试. ...

  8. 浅谈跨网站脚本攻击(XSS)的手段与防范(简析新浪微博XSS攻击事件)

    本文主要涉及内容: 什么是XSS XSS攻击手段和目的 XSS的防范 新浪微博攻击事件 什么是XSS 跨网站脚本(Cross-sitescripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一 ...

  9. XSS测试平台搭建(超详细)

    1.拉取镜像 docker pull daocloud.io/library/mysql:5.6 2.运行mysql服务,密码为root,端口号为3306 docker run --name mysq ...

最新文章

  1. Rocksdb 的 BlobDB key-value 分离存储插件
  2. [POJ-3237] [Problem E]
  3. jquery插件的写法
  4. 在redhat6.3 安装oracle 11.2.0.1遇到的错误
  5. Ubuntu使用技巧(二)
  6. java xml 默认名称空间 xpath_创意产业园办公空间设计
  7. 广州海珠区计算机学校,2019广州海珠区电脑派位和对口直升表
  8. 徐汉字java字符_汉字徐的拼音部首-汉字徐的笔画和解释-汉字徐在线查新华字典...
  9. 【leveldb】资料
  10. 发现一篇不错的学习隐马尔可夫模型的文章
  11. Windows系统服务器中安装Redis服务
  12. python when库_python 库收集
  13. Unity2019配置ARCore环境
  14. Qt 获取控件位置坐标,屏幕坐标,相对父窗体坐标
  15. 如何 DIY 一台属于你自己的电脑?
  16. 求助,nodejs 在安装threads_a_gogo时报错
  17. (全)Docker安装+人脸比对算法服务(win10)
  18. 项目管理工具dhtmlxGantt甘特图入门教程(八):数据加载(二)
  19. 男装品牌十如仕官宣谢霆锋为品牌代言人
  20. kingcms php 列表页bug,kingcms最新版sql注入漏洞

热门文章

  1. 【蓝桥杯】算法提高 7-2求arccos值
  2. NYOJ 643 发短信 暴力求解
  3. 社区的代码规范及e2e测试
  4. Codeforces Global Round 3
  5. MySQL 特殊参数
  6. 2017《面向对象程序设计》课程作业六
  7. asp.net 发送邮件
  8. java实现随机验证码的图片
  9. ASP.NET %%,%=%,%#%区别
  10. spring bean中scope=prototype“的作用