分类 XSS 下的文章

何谓XSS平台

xss平台是对xss漏洞进行利用的程序,类似于xss-beef的这么一种中间人攻击工具

直接百度就有很多人搭建的线上xss平台,感兴趣的同学也可以自己网上找xss平台源码搭建个,不过搭建在本地没什么用,会网站部署的同学可以弄台服务器,和有个公网ip才能发布到互联网上收信息做更多的操作。

我这里就点进了第一个xss平台,点击右上角注册

注册信息我建议大家不要填太多关于个人隐私的信息,因为这种平台都是个人搭建的,在安全方面不太可靠,容易造成个人隐私泄露

注册完成会自动登录,这是主界面

左上角我的项目那里点击新建,创建一个项目

选择配置模块,有许多的模块,不仅限于打cookie 弹窗这种基本操作,还能获取网页截图,键盘记录等操作。这里我就选个默认模块,旁边有个展开点击后可以展开这个模块的利用代码。

选中后拉到下面,点击下一步查看探针

给出了好几种探针,大家根据实际情况使用,我一般使用最短的,使用不了再换其他的,探针的原理都是一样的,用于让目标程序加载我们前面选择的攻击模块

点击完成后我们的项目就算是创建成功了

这里为了演示效果,我直接插入含有xss的xss-labs里面提交,回车

再到xss平台的查看效果,这是静态页面,需要手动刷新

刷新后可以看到有内容了

这样就完成了一次xss攻击,获取到了目标的一些信息包括cookie操作系统浏览器

再个人设置那里可以设置邮件或者短信通知,当目标收到攻击的时候会有通知

总是XSS平台功能很强大,有很多模块大家可以去试用,但是要慎用