XSS作为OWASP TOP 10之一。
XSS中文叫做跨站脚本攻击(Cross-site scripting),本名应该缩写为CSS,但是由于CSS(Cascading Style Sheets,层叠样式脚本)重名,所以更名为XSS。XSS(跨站脚本攻击)主要基于javascript(js)来完成恶意的攻击行为。
XSS是一种经常出现在web应用中的计算机大全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢?
XSS是指恶意攻击者利用网站对用户提交的数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。
从而盗取用户资料、利用用户身份进行某种动作或者访问者进行病毒侵害的一种攻击方式。
下面进入使用环节:
如果是liunx系统可以用以下指令安装:
apt-get update apt-get install beef-xss
在 Kali 用以下指令启动(默认kali是不带beef的,需要自行安装):
beef-xss
也可以进入以下地址:
http://127.0.0.1:3000/demos/basic.html
下面连接肉鸡,example字段:
刷新 beef 会发现出现靶机IP的信息(标红的是一些关键信息):
下面获取目标的cookie:
链接跳转 Redirect Browser:
输入框事件记录:
获取当前用户键盘值:
利用之前发现的漏洞:
里面的功能很强大,可以当枪使用,后续漏洞复现的时候也会用到。