xss漏洞(二,xss入靶场搭建以及简单利用)

本文仅作为学习参考使用,本文作者对任何使用本文进行渗透攻击破坏不负任何责任。

一,环境搭建。

使用工具:PHP study,dvwa靶场。

1,GitHub上下载dvwa到PHP study的WWW文件夹内,并解压。

dvwa下载地址

将解压后的文件夹放在phpstudy的WWW文件夹内。

此处直接将文件夹命名为了DVWA。

2,创建网站。

①,创建网站。

②,浏览,选择所解压在phpstudy的WWW文件夹内的dvwa文件夹。

③,更改端口,便于处于在同一WiFi环境内的其他设备链接,使用。

④,域名,此处为了便于分辨,直接写为DVWA。

⑤,点击确认,PHP study会立刻重启,稍后网站创建成功。

3,更改文件配置。

数据库用户为:root,密码为123456789。

打开dvwa文件夹内的DVWA\config\config.inc.php.dist,将其重命名为config.inc.php并双击打开。

将这两项更改为:

只要与数据库账密一致就可以。

将下列内容填充到红框的单引号内。

$_DVWA[ 'recaptcha_public_key' ]  = '6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg';
$_DVWA[ 'recaptcha_private_key' ] = '6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ'; 

打开网站。

点击此处,重置数据库。

跳转到此页面,说明重置成功。

此时用户名为 admin,密码为 password。

至此,靶场环境安装结束。

二,xss攻击。

1,靶场环境预设。

①,点击DVWA Security.

②,将安全的及设置为low。

③,点击保存。

2,前往靶场位置。

点击XSS (Reflected),反射性xss。

三,开始攻击。

1,测试漏洞存在。

<script>alert(document.cookie)</script>

这段代码的的作用是:弹窗输出cookie。

成功弹出,说明存在xss漏洞。

相关推荐
贩卖纯净水.1 分钟前
Chrome调试工具(查看CSS属性)
前端·chrome
栈老师不回家1 小时前
Vue 计算属性和监听器
前端·javascript·vue.js
前端啊龙1 小时前
用vue3封装丶高仿element-plus里面的日期联级选择器,日期选择器
前端·javascript·vue.js
一颗松鼠1 小时前
JavaScript 闭包是什么?简单到看完就理解!
开发语言·前端·javascript·ecmascript
小远yyds1 小时前
前端Web用户 token 持久化
开发语言·前端·javascript·vue.js
吕彬-前端2 小时前
使用vite+react+ts+Ant Design开发后台管理项目(五)
前端·javascript·react.js
学前端的小朱2 小时前
Redux的简介及其在React中的应用
前端·javascript·react.js·redux·store
guai_guai_guai2 小时前
uniapp
前端·javascript·vue.js·uni-app
帅比九日3 小时前
【HarmonyOS Next】封装一个网络请求模块
前端·harmonyos
bysking3 小时前
【前端-组件】定义行分组的表格表单实现-bysking
前端·react.js