0
点赞
收藏
分享

微信扫一扫

渗透测试-xss钓鱼测试和xss盲打

尤克乔乔 2022-04-24 阅读 76

系列文章目录

文章目录

前言

一、什么是xxs钓鱼测试和盲打

首先就是我们遇到可以进行注入的方框,可以注入一个js代码构造登录页面,然后就可以将登录信息发送到我们的xss后台中。

xss盲打就是在不知道是否存不存在xss漏洞的情况下,进行注入代码进行测试,然后如何存在,就可以进行注入js代码进行攻击。

二、xxs钓鱼测试和盲打获取用户登录信息

1.xss钓鱼测试

这里我们进入存储型xss实验
在这里插入图片描述
我们发现方框,进行注入js代码,输入
在这里插入图片描述
进行代码审计可知
在这里插入图片描述
我们发现代码出现了发送认证框,并将信息传送到后台
在这里插入图片描述
在这里插入图片描述
提交后出现登录框,输入默认密码
在这里插入图片描述
进行登录后,就那个入后台查看钓鱼结果
在这里插入图片描述

在这里插入图片描述
结果我的没有出现,比较上面的是师傅出现的结果,哥哥姐姐们可以尝试一下,实验结束。

2. xss盲打

进行实验xss盲打实验
在这里插入图片描述
这里试试看有没有xss漏洞,在方框里注入js代码,这里我注入万能xss代码
在这里插入图片描述
我们注入代码进行提交
在这里插入图片描述
然后进入管理员后台进行登录,用默认账号和密码进行登录
admin,123456
在这里插入图片描述
在这里插入图片描述
进入之后,发现弹出了方框,说明存在xss漏洞
![在这里插入图片描述](https://img-blog.csdnimg.cn/b358e89076ae42b7a53aaaf4b31c0c6c.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYn在这里插入图片描述
实验结束,也算盲打成功了。

总结

本次实验是对xss钓鱼页面和盲打进行了练习,也在今后进行渗透测试过程中对xss的利用和攻击中更能灵活运用。

举报

相关推荐

0 条评论