XSS数据接收平台

一.使用xss数据接收平台的好处:

正常执行反射型xss和存储型xss,反射型xss在执行poc时,会直接在页面弹出执行注入的poc代码;存储型则是,在将poc代码注入用户的系统中后,用户访问有存储型xss的地方,也会弹出执行的poc代码,即如下图所示;而使用这种数据接收平台,在用户页面就不会再弹出这个窗口,但在数据接收平台还是可以获取到用户的cookie,以免被用户发觉。

二.BlueLotus_XSSReceiver-master(蓝莲花)

1.靶场搭建

1.下载BlueLotus_XSSReceiver-master后,解压放到phpstudy的www目录下

2.在浏览器访问http://127.0.0.1/BlueLotus_XSSReceiver-master,会跳转到安装页面,直接点击安装

3.默认点击提交就好,需要注意的是,后台登录默认密码是:bluelotus

4.提交后,显示安装成功,直接点击登录就跳转到,登录控制面板,输入前面的密码,即可登录到XSS接受面板

2.使用

1.启动DVWA靶场,DVWA Security设置成low,之后打开反射型xss界面,复制网址

2.创建"我的js"模块

进入"我的JS"模块输入要创建的模板名,选择要用的模块,点击插入模块,之后点击新增按钮

3.新增我的js成功后,点击生成payload并复制生成的payload

4.将复制的payload,放到dvwa的xss模块执

5.由于改xss数据接收靶场存在一点问题,所以,这里需要访问一下http://127.0.0.1/BlueLotus_XSSReceiver-master/,再访问http://127.0.0.1/BlueLotus_XSSReceiver-master/admin.php,才能看到接收到的dvwa的cookie。![](https://file.jishuzhan.net/article/1758847428917727234/6996ef42415cb69842035add6ad86ee5.webp)

Pikachu、xss靶场都是同样的使用方法

三.XSS在线平台

1.访问xss在线数据接收平台:XSS平台-仅用于xss安全测试专用,登录账号和密码:poilkjmnb,QWE123

2.进入到xss在线平台主页

3.我的项目,点击创建,项目名称和描述随便填,之后点击下一步,选择需要的模板,这里选择"基础默认模块"就好,之后点击下一步,项目就创建成功了

4.项目创建成功后,任意复制一条生成的poc,到dvwa靶场的xss模块执行poc

5.在dvwa中执行完poc后,点击刚刚创建的项目就可查看到接收到的靶场的cookie

Pikachu、xss靶场都是同样的使用方法

相关推荐
安全系统学习1 小时前
系统安全之大模型案例分析
前端·安全·web安全·网络安全·xss
涛哥码咖1 小时前
chrome安装AXURE插件后无效
前端·chrome·axure
OEC小胖胖1 小时前
告别 undefined is not a function:TypeScript 前端开发优势与实践指南
前端·javascript·typescript·web
行云&流水2 小时前
Vue3 Lifecycle Hooks
前端·javascript·vue.js
Sally璐璐2 小时前
零基础学HTML和CSS:网页设计入门
前端·css
老虎06272 小时前
JavaWeb(苍穹外卖)--学习笔记04(前端:HTML,CSS,JavaScript)
前端·javascript·css·笔记·学习·html
灿灿121382 小时前
CSS 文字浮雕效果:巧用 text-shadow 实现 3D 立体文字
前端·css
烛阴3 小时前
Babel 完全上手指南:从零开始解锁现代 JavaScript 开发的超能力!
前端·javascript
AntBlack3 小时前
拖了五个月 ,不当韭菜体验版算是正式发布了
前端·后端·python
31535669133 小时前
一个简单的脚本,让pdf开启夜间模式
前端·后端