Kali beef-xss实现Xss详细教程。
免责声明:
本文所介绍的内容仅做学习交流使用,严禁利用文中技术进行非法行为,否则造成一切严重后果自负!
1.XSS简介
(1)XSS简介
XSS作为OWASP TOP 10之一。
XSS中文叫做跨站脚本攻击(Cross-site scripting),本名应该缩写为CSS,但是由于CSS(Cascading Style Sheets,层叠样式脚本)重名,所以更名为XSS。XSS(跨站脚本攻击)主要基于javascript(js)来完成恶意的攻击行为。
XSS是一种经常出现在web应用中的计算机大全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢?
XSS是指恶意攻击者利用网站对用户提交的数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。
从而盗取用户资料、利用用户身份进行某种动作或者访问者进行病毒侵害的一种攻击方式。
二、分类
1.反射型XSS 将链接给到目标点击
2.存储型XSS 留言评论等插入
3.DOM型XSS 插件脚本到dom
危害
1、网络钓鱼,包括盗取各类用户账号;
2、窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作;
3、劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等;
4、强制弹出广告页面、刷流量等;
5、网页挂马,进行恶意操作,例如任意篡改页面信息、删除文章等;
6、进行大量的客户端攻击,如DDoS攻击;
7、获取客户端信息,例如用户的浏览历史、真实IP、开放端口等;
8、控制受害者机器向其他网站发起攻击;
9、结合其他漏洞,如CSRF漏洞,实施进一步作恶;
10、提升用户权限,包括进一步渗透网站;
11、传播跨站脚本蠕虫等;
了解上面详情让我们更懂得如何防范xss攻击。
下面我们就来一个简单例子来。
2.Kali 开启网络监听
service apache2 start
3.启动Kali beef-xss 模块
1.如果没用下载按y下载即可
beef-xss
2.设置好密码浏览器自动打开网页
登录输入我们的密码 默认账号 beef 密码是刚刚安装设置的
查看密码路径root权限
vi /etc/beef-xss/config.yaml
3.解决密码正确确登录不上去重新安装即可
apt-get remove beef-xss //卸载beef-xss
apt-get purge beef-xss //删除beef-xss配置
rm -r /usr/share/beef-xss/ //重点,彻底删除beef-xss所有的用户配置,0保留
apt-get install beef-xss //重新输入密码后,就可以正常使用了
4.复制脚本
5.链接执行xss木马形式
6.链接本地成功查看
7.发起
payload:
正常方式 <script>alert(1)</script>
大小写方式绕过 <ScRiPt>alert(1)</ScRiPt>
乱排序绕过 <scr<script>ipt>alert(1)</scr<script>ipt>
Kali beef-xss实现Xss详细教程。相关推荐
- kali中安装更新firefox详细教程
一.下载 进入到火狐官网下载最新版火狐链接 下载linux版本 二.解压 下载下来的文件为bz2后缀的文件 分别执行以下命令(根据下载文件的名字进行更改命令) bzip2 -d Firefox-lat ...
- Nessus 安装文件和详细教程(kali系统,附网盘下载链接)
Nessus 安装详细教程(kali系统) 1.下载Nessus 安装文件 官网下载 csdn下载 百度网盘下载(提取码:swu1 ) 2.rz 将文件传输到kali中的根目录下 3. ...
- kali Linux 2020.1B 最详细安装教程
kali Linux 2020.1B 最详细安装教程 一.前期准备 1.1 准备vmware 虚拟机 软件版本:VMware-workstation-full-15.5.2-15785246 下载地址 ...
- kali安装卡在最后一步_手机端(安卓)安装 Kali Linux 系统详细教程
前言 之前写有文章介绍过关于 Kali Linux 系统安装的详细教程,不过是在电脑端真机或虚拟机中的安装步骤,那么作为平时使用最多并且能方便携带的智能手机端,是否有方法或技术来实现安装呢?还确实有, ...
- xss.haozi.me通关教程
10.xss.haozi.me通关教程 0x00 首先整体浏览网站 分别是xss注入点,注入后的HTML代码以及网页源码 构造常规payload: <script>alert(1)< ...
- Kali Linux系统正确安装指南教程(一)MAC安装kail+Vmware Fusion详细教程(吐血本人测试10次)
苹果电脑MAC安装kail的详细教程 本文虚拟机vmware fusion 反反复复安装10来次,喜欢的给个赞,也是给自己日后在安装留下个笔记,要不还要百度 MAC + vmware Fusion + ...
- kali 简单版攻击WiFi(附详细教程)
首先检查是否有无限网卡 在root终端输入ifconfig,检查是否有wlan0 然后分为以下几个步骤(review专用,没有基础就看下面详细教程) 1.输入airmon-ng start wlan0 ...
- hydra九头蛇详细教程(5分钟内快速学会)
hydra详细教程(本文的目的是使小白能一眼看懂,在5分钟之内能够直接使用hydra,在实验中更好的学习,进行大多数的破解) hydra工具介绍 hydra又名九头蛇,是一款爆破神器. 支持linux ...
- 网络安全--解除认证攻击wifi(详细教程)
文章目录 一.前言 二.准备 1.网卡 2.虚拟机 3.系统 3.1Kali系统下载方法 三.原理 四.实战 1.查看设备 2.实战 2.1进入监听模式 2.2扫描wifi 2.3开始攻击 2.4效果 ...
最新文章
- Go 学习笔记(50)— Go 标准库之 net/url(查询转义、查询参数增/删/改/查、解析URL)
- centos pureftpd mysql_使用PureFTPd和MySQL的虚拟主机(包括配额和带宽管理)在CentOS 6.2上...
- TStringList 常用操作
- WinCE 和Win Mobile的关系
- Java学习笔记27
- 内部排序选择、冒泡、插入、希尔、快速、归并、堆排序原理概要和实现
- 宏程序编程软件手机版_分享 | 手机上可以用来学习编程的软件,主要的都在这里...
- maven的web工程打包为war并部署到服务器
- python学生信息管理系统
- 895计算机专业基础,2017北京工业大学895计算机学科专业基础考研入学考试大纲...
- android动画之从源码角度分析动画原理
- python UI自动化无界面运行
- 谷歌地球到底有多厉害?附查看高清卫星影像方法
- 遥感图像计算机分类论文,遥感影像和监督分类论文,关于基于监督分类的土地利用遥感影像提取方法相关参考文献资料-免费论文范文...
- 【零基础入门MyBatis系列】第三篇——使用MyBatis完成CRUD
- 2010不断创新的供应链应用模式
- 蔡康永的说话之道2-笔记
- python flask上传Excel并把Excel的数据导入数据库
- java 网易的yeah邮箱_网易163邮箱、yeah邮箱横向对比
- 软件工程——形式化方法概述