XSS数据接收平台

一.使用xss数据接收平台的好处:

正常执行反射型xss和存储型xss,反射型xss在执行poc时,会直接在页面弹出执行注入的poc代码;存储型则是,在将poc代码注入用户的系统中后,用户访问有存储型xss的地方,也会弹出执行的poc代码,即如下图所示;而使用这种数据接收平台,在用户页面就不会再弹出这个窗口,但在数据接收平台还是可以获取到用户的cookie,以免被用户发觉。

二.BlueLotus_XSSReceiver-master(蓝莲花)

1.靶场搭建

1.下载BlueLotus_XSSReceiver-master后,解压放到phpstudy的www目录下

2.在浏览器访问http://127.0.0.1/BlueLotus_XSSReceiver-master,会跳转到安装页面,直接点击安装

3.默认点击提交就好,需要注意的是,后台登录默认密码是:bluelotus

4.提交后,显示安装成功,直接点击登录就跳转到,登录控制面板,输入前面的密码,即可登录到XSS接受面板

2.使用

1.启动DVWA靶场,DVWA Security设置成low,之后打开反射型xss界面,复制网址

2.创建"我的js"模块

进入"我的JS"模块输入要创建的模板名,选择要用的模块,点击插入模块,之后点击新增按钮

3.新增我的js成功后,点击生成payload并复制生成的payload

4.将复制的payload,放到dvwa的xss模块执

5.由于改xss数据接收靶场存在一点问题,所以,这里需要访问一下http://127.0.0.1/BlueLotus_XSSReceiver-master/,再访问http://127.0.0.1/BlueLotus_XSSReceiver-master/admin.php,才能看到接收到的dvwa的cookie。![](https://file.jishuzhan.net/article/1758847428917727234/6996ef42415cb69842035add6ad86ee5.webp)

Pikachu、xss靶场都是同样的使用方法

三.XSS在线平台

1.访问xss在线数据接收平台:XSS平台-仅用于xss安全测试专用,登录账号和密码:poilkjmnb,QWE123

2.进入到xss在线平台主页

3.我的项目,点击创建,项目名称和描述随便填,之后点击下一步,选择需要的模板,这里选择"基础默认模块"就好,之后点击下一步,项目就创建成功了

4.项目创建成功后,任意复制一条生成的poc,到dvwa靶场的xss模块执行poc

5.在dvwa中执行完poc后,点击刚刚创建的项目就可查看到接收到的靶场的cookie

Pikachu、xss靶场都是同样的使用方法

相关推荐
光影341515 小时前
专利撰写与申请核心要点简报
前端·数据库·php
ze_juejin15 小时前
Angular 中设置宿主元素(Host)样式的方法
前端
用户904438163246015 小时前
《零代码基础也能 AI 创作?GPT+DALL・E 实战教程,10 分钟上手》
前端·github
WillaWang15 小时前
aria | "Accessible Rich Internet Applications"
前端
reoreo15 小时前
如何使用 i18next 实现多种语言的国际化(从新建 vite ts 项目开始)
前端·javascript
云动雨颤15 小时前
Typecho 博客统计脚本怎么装?同步 / 异步 + Head/Body 选择指南
前端·html
用户40993225021215 小时前
快速入门Vue3的v-指令:数据和DOM的“翻译官”到底有多少本事?
前端·ai编程·trae
Asort15 小时前
JavaScript设计模式(二十三)——访问者模式:优雅地扩展对象结构
前端·javascript·设计模式
星辰h15 小时前
基于JWT的RESTful登录系统实现
前端·spring boot·后端·mysql·restful·jwt
要加油哦~16 小时前
前端笔试题 | 整理&总结 ing | 跨域 + fetch + credentials(携带cookie)
前端