【网络安全】beef-xss实操以及xss修复方案

简介: beef-xss实操以及xss修复方案

 

博主昵称:跳楼梯企鹅
博主主页面链接:博主主页传送门

博主专栏页面连接:专栏传送门--网路安全技术
创作初心:本博客的初心为与技术朋友们相互交流,每个人的技术都存在短板,博主也是一样,虚心求教,希望各位技术友给予指导。
博主座右铭:发现光,追随光,成为光,散发光;
博主研究方向:渗透测试、机器学习 ;
博主寄语:感谢各位技术友的支持,您的支持就是我前进的动力 ;

图片.png


一、xss盲打

个人理解:就相当于你上传的恶意代码没有被识别为实体,但是显示在了管理员页面,而没有反馈在自己的页面上,自己看不到只能依靠盲猜的方式。也就是我们在自己的页面上看不到我们代码的回显,而是管理员看到了回显,这里可以加上钓鱼页面进行钓鱼的操作。

二、beef-xss实操

1.打开kail

图片.png

2.打开beef-xss


图片.png

图片.png

3.弹出页面

图片.png


默认密码 账号beef 密码admin

4.复制代码

图片.png

5.打开靶场进行测试

图片.png

image.gif

6.打开beef-xss看是否上线成功

图片.png

image.gif

发现可以上线

7.观察拓扑图确定是否链接没问题

图片.png

image.gif

8.测试弹窗的恶意代码

图片.png

image.gif

9.发送弹框

图片.png

10.观察效果

图片.png

image.gif

实验完成

三、XSS漏洞修复方案

(1)在cookie中设置了HttpOnly属性,那么通过JavaScript脚本将无法读取到cookie信息,这样能一定程度上防止XSS攻击。

(2)假定所有输入都是可疑的,必须对所有输入中的script、iframe等字样进行严格的检查。这里的输入不仅仅是用户可以直接交互的输入接口,也包括HTTP请求中的cookie中的变量,HTTP请求头部中的变量等。

(3)不仅验证数据的类型,还要验证其格式、长度、范围和内容。

(4)过滤“<” 、“>” 将用户输入放入引号间,基本实现数据与代码隔离;过滤双引号防止用户跨越许可的标记,添加自定义标记;过滤TAB和空格,防止关键字被拆分;过滤script关键字;过滤&#,防止HTML属性绕过检查。在客户端和服务器端同时做数据的验证与过滤。

(5)对输出的数据也要检查,数据库里的值有可能会在一个大网站的多处都有输出,即使在输入做了编码等操作,在各处的输出点时也要进行安全检查。

相关文章
|
11天前
|
安全 虚拟化
在数字化时代,网络项目的重要性日益凸显。本文从前期准备、方案内容和注意事项三个方面,详细解析了如何撰写一个优质高效的网络项目实施方案,帮助企业和用户实现更好的体验和竞争力
在数字化时代,网络项目的重要性日益凸显。本文从前期准备、方案内容和注意事项三个方面,详细解析了如何撰写一个优质高效的网络项目实施方案,帮助企业和用户实现更好的体验和竞争力。通过具体案例,展示了方案的制定和实施过程,强调了目标明确、技术先进、计划周密、风险可控和预算合理的重要性。
31 5
|
1月前
|
安全 网络架构
MPLS线路构建稳定、高效网络的优选方案
【10月更文挑战第17天】MPLS线路构建稳定、高效网络的优选方案
50 5
|
4月前
|
SQL 监控 安全
网络安全中的安全漏洞管理与修复:技术深度剖析
【7月更文挑战第8天】安全漏洞的管理与修复是网络安全工作的重要组成部分。通过定期的安全审计、更新与补丁管理、漏洞扫描与评估、及时修复及持续监控与响应等措施,可以有效提升网络系统的安全性。然而,网络安全是一项长期而艰巨的任务,需要不断关注最新的安全动态和技术发展,持续优化安全策略和管理流程,以应对日益复杂的网络安全挑战。
|
25天前
|
存储 JSON 安全
2024全网最全面及最新的网络安全技巧 二 之 CSRF+XSS漏洞的各类利用技巧
2024全网最全面及最新的网络安全技巧 二 之 CSRF+XSS漏洞的各类利用技巧
|
1月前
|
运维 监控 安全
连锁药店网络优化策略:一站式融合方案提升竞争力
在数字化浪潮下,线上药店通过技术创新和线上线下融合,正重塑购药体验,提供24小时服务和医保结算便利。面对激烈竞争,连锁药店和中小药店纷纷通过优化网络架构、提升服务质量和加强合规管理来增强竞争力,实现高效、安全的数字化转型。
|
3月前
|
数据采集 量子技术 双11
【2023 年第十三届 MathorCup 高校数学建模挑战赛】C 题 电商物流网络包裹应急调运与结构优化问题 建模方案及代码实现
本文提供了2023年第十三届MathorCup高校数学建模挑战赛C题的详细建模方案及代码实现,针对电商物流网络中的包裹应急调运与结构优化问题,提出了包括时间序列分析在内的多种数学模型,并探讨了物流网络的鲁棒性。
64 2
【2023 年第十三届 MathorCup 高校数学建模挑战赛】C 题 电商物流网络包裹应急调运与结构优化问题 建模方案及代码实现
|
3月前
|
安全 网络安全 数据安全/隐私保护
数字堡垒的裂缝与修复:网络安全漏洞、加密技术与安全意识
【8月更文挑战第17天】 在数字化时代,网络安全如同一座保护数据资产不受侵犯的数字堡垒。然而,这座堡垒并非无懈可击,网络攻击者不断寻找并利用安全漏洞进行破坏活动。本文将深入浅出地探讨网络安全中常见的漏洞类型、加密技术的工作原理以及提升个人和组织安全意识的重要性,旨在为读者提供一套实用的网络安全知识框架,帮助加固数字堡垒的每一砖一瓦。
41 2
|
3月前
|
安全 网络安全 数据安全/隐私保护
数字堡垒的裂缝与修复:网络安全漏洞、加密技术与安全意识
在数字化浪潮中,网络安全成为保护个人隐私和企业资产的重要防线。本文深入探讨了网络安全的薄弱环节——漏洞的存在与影响,并分析了加密技术如何成为防御的关键工具。同时,强调了提升安全意识的必要性,指出这是构建坚实网络防御的基石。通过具体案例,揭示了安全威胁的现实面貌,并提出了有效的防护策略。
|
3月前
|
负载均衡 网络协议 安全
解析网络流量管理方案:简化基于云的DNS负载均衡
解析网络流量管理方案:简化基于云的DNS负载均衡
100 1
|
3月前
|
监控 安全 网络安全
网络安全漏洞:预防与修复的技术探索
【8月更文挑战第8天】网络安全漏洞的预防和修复是一个持续的过程,需要企业从多个维度入手,采取综合措施来保障网络和信息系统的安全。通过漏洞扫描与评估、及时更新与补丁管理、访问控制与权限管理、安全配置与审查以及员工培训与教育等手段,可以有效预防网络安全漏洞的发生。同时,在发现漏洞后,应迅速启动紧急响应机制进行修复,并持续跟踪漏洞状态以确保系统的安全稳定运行。最终,通过构建完善的网络安全防护体系,企业可以有效应对各种网络安全威胁,保障自身业务的安全和持续发展。
下一篇
无影云桌面