XSS 跨站脚本攻击_5 | 学习笔记

简介: 快速学习 XSS 跨站脚本攻击_5

开发者学堂课程【网络安全攻防 - Web渗透测试XSS 跨站脚本攻击_5】学习笔记,与课程紧密联系,让用户快速学习知识。

课程地址:https://developer.aliyun.com/learning/course/630/detail/9915


XSS 跨站脚本攻击_5


控制用户浏览器

1.  Webcam

该模块将向用户显示 Adobe Flash“允许网络摄像头对话框。用户必须单击允许按钮,否则此模块将不返回图片。

可以自定义说服用户的标题/文本。

可以自定义要拍摄的照片数量以及间隔时间(默认情况下需要拍摄20张照片,每秒拍摄1张照片)

图片作为 base64编码的 JPG 字符串发送

image.png

image.png

2.  Spyder Eye

该模块拍摄了受害者浏览窗口的图片

image.png

3.  Get All Cookies

获取所有的 cookie

4.  Inject BeEF

尝试在所有可用选项卡上注入 BeEF 挂钩

5.  DNS Tunnel

DNS 隧道

6. Return Ascil Chars

返回 Ascil 字符

7.  Test CORSRequest

返回图像

8.  Man-In-The-Browser

此模块将使用 Man-In-The-Browser 攻击来确保 BeEF 挂钩将保持不变,直到用户离开域

(URL 栏中手动更改它)

image.png

9. Confirm Close Tap

在用户尝试关闭选项卡时向用户显示确认对话框。如果单击“是”,则重新显示确认对话 you can't keep 框。不适用于 Opera<12。在 Chrome 中,您无法继续打开确认对话框。(拖延用户时间)

10. Create Foreground iFrame

重写网页上的所有链接,以使用相对于所选链接的源生成100%x 100%的 iFrame。

11. Create Pop Under

创建一个新的 Pop Under(图片右下角)

image.png

12. Fake Flash Update

下载 Flash 更新

image.png

image.png

13. Google Phishing

谷歌钓鱼,窃取屏幕信息

image.png

密码被窃取

image.png

14. Pretty Theft

类似于钓鱼的形式,使用浮动div询问用户的用户名和密码。

image.png

相关文章
|
3月前
|
SQL 存储 安全
什么是XSS攻击?什么是SQL注入攻击?什么是CSRF攻击?
理解并防范XSS、SQL注入和CSRF攻击是Web应用安全的基础。通过采用严格的输入验证、使用安全编码实践以及实现适当的身份验证和授权机制,可以有效防止这些常见的Web攻击,保障应用程序和用户的数据安全。
71 0
|
3月前
|
JavaScript 安全 前端开发
同源策略如何防止 XSS 攻击?
【10月更文挑战第31天】同源策略通过对 DOM 访问、Cookie 访问、脚本执行环境和跨源网络请求等多方面的严格限制,构建了一道坚实的安全防线,有效地防止了 XSS 攻击,保护了用户在网络浏览过程中的数据安全和隐私。
130 49
|
3月前
|
安全 Go PHP
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第27天】本文深入解析了Web安全中的XSS和CSRF攻击防御策略。针对XSS,介绍了输入验证与净化、内容安全策略(CSP)和HTTP头部安全配置;针对CSRF,提出了使用CSRF令牌、验证HTTP请求头、限制同源策略和双重提交Cookie等方法,帮助开发者有效保护网站和用户数据安全。
119 2
|
3月前
|
安全 前端开发 Java
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第26天】Web安全是现代软件开发的重要领域,本文深入探讨了XSS和CSRF两种常见攻击的原理及防御策略。针对XSS,介绍了输入验证与转义、使用CSP、WAF、HTTP-only Cookie和代码审查等方法。对于CSRF,提出了启用CSRF保护、设置CSRF Token、使用HTTPS、二次验证和用户教育等措施。通过这些策略,开发者可以构建更安全的Web应用。
143 4
|
3月前
|
存储 安全 Go
Web安全基础:防范XSS与CSRF攻击的方法
【10月更文挑战第25天】Web安全是互联网应用开发中的重要环节。本文通过具体案例分析了跨站脚本攻击(XSS)和跨站请求伪造(CSRF)的原理及防范方法,包括服务器端数据过滤、使用Content Security Policy (CSP)、添加CSRF令牌等措施,帮助开发者构建更安全的Web应用。
159 3
|
4月前
|
存储 JavaScript 安全
|
4月前
|
存储 JavaScript 前端开发
Xss跨站脚本攻击(Cross Site Script)
Xss跨站脚本攻击(Cross Site Script)
|
5月前
|
存储 安全 JavaScript
XSS跨站脚本攻击详解(包括攻击方式和防御方式)
这篇文章详细解释了XSS跨站脚本攻击的概念、原理、特点、类型,并提供了攻击方式和防御方法。
911 1
|
6月前
|
存储 安全 JavaScript
解释 XSS 攻击及其预防措施
【8月更文挑战第31天】
473 0
|
6月前
|
SQL 监控 安全
在Linux中,如何检测和防止SQL注入和跨站脚本(XSS)攻击?
在Linux中,如何检测和防止SQL注入和跨站脚本(XSS)攻击?