2026年3月4日

pikachu靶场——Cross-Site Scripting-6 XSS之href和js(Kali系统)
摘要: (一)XSS 之 href 原理同XSS之htmlspecialchars,均为在 a 标签的 href 特征中显示的输入值。这里不再赘述。 (二) XSS 之 js 这里主要是将输入的内容在 js 中赋值给 ms。这里就是 xss 突破的地方。 它模拟的是反射型XSS的一种特殊场景:恶意代码的注入 阅读全文
posted @ 2026-03-04 22:08 小哲18 阅读(21) 评论(0) 推荐(0)
 
pikachu靶场——Cross-Site Scripting-5 XSS之htmlspecialchars(Kali系统)
摘要: 前言:本文仅用于合法授权的渗透测试场景,旨在帮助开发者识别XSS漏洞、提升Web应用安全性,严禁用于未授权攻击!网络安全无小事,违规操作将承担相应法律责任。 一、htmlspecialchars 函数介绍 htmlspecialchars() 是 PHP 中用于防御跨站脚本攻击(XSS)的一个核心函 阅读全文
posted @ 2026-03-04 22:02 小哲18 阅读(17) 评论(0) 推荐(0)
 

2026年3月2日

pikachu靶场——Cross-Site Scripting-4 XSS盲打与过滤(Kali系统)
摘要: @目录一、XSS之盲打🎯 漏洞原理二、XSS 之过滤(一)攻击者视角:常见的过滤绕过技巧1. 标签与事件绕过2. 关键字绕过3. DOM 型过滤绕过(二)防御者视角:如何构建可靠的防御体系1. 输入验证(白名单优先)2. 输出编码(最核心的防线)3. 使用安全的库(避免重复造轮子)4. 内容安全策 阅读全文
posted @ 2026-03-02 21:35 小哲18 阅读(42) 评论(0) 推荐(0)
 

2026年3月1日

pikachu靶场——Cross-Site Scripting-3 DOM型XSS(Kali系统)
摘要: 前言:本文仅用于合法授权的渗透测试场景,旨在帮助开发者识别DOM型XSS漏洞、提升Web应用安全性,严禁用于未授权攻击!网络安全无小事,违规操作将承担相应法律责任。 DOM型XSS作为前端常见高危漏洞,因无需与后端交互、触发隐蔽,成为渗透测试中高频遇到的攻击场景。今天就以两段真实前端代码为例,拆解漏 阅读全文
posted @ 2026-03-01 19:38 小哲18 阅读(31) 评论(0) 推荐(0)
 

2026年2月27日

pikachu靶场——Cross-Site Scripting-2(Kali系统)
摘要: @目录(一)靶场复现(二)基本介绍 存储型 XSS (一)靶场复现 再留言框输入之前的 playload ,只要点击这个页面的用户,都会触发 xss 漏洞,将相关的信息进行泄露。 (二)基本介绍 在皮卡丘(Pikachu)靶场中,还原并利用存储型XSS漏洞,核心在于理解其“持久化”特性,并通过构造恶 阅读全文
posted @ 2026-02-27 22:13 小哲18 阅读(28) 评论(0) 推荐(0)
 

2026年2月25日

pikachu靶场——Cross-Site Scripting(Kali系统)
摘要: @目录(一)反射型 xss(get)(二)反射型 xss(post)(三)相关介绍1.反射型XSS(GET)的基本原理2.主要危害:不只是弹窗那么简单3.实际应用与防御:攻与防的博弈(四)Kali 攻击复现 本文仅限于日常学习和技术交流。不得利用文章涉及的技术点进行违法活动。所有操作均在本地靶场。 阅读全文
posted @ 2026-02-25 22:27 小哲18 阅读(33) 评论(0) 推荐(0)
 

2026年2月24日

pikachu靶场——暴力破解
摘要: (一)基于表单的暴力破解 1.打开 kali 中的 burpsuite 软件。点击 proxy 界面,在 burpsuite 中 open brower (个人习惯直接使用 bp 中自带的 浏览器,如果要使用 kali 中的浏览器,需要安装 FoxyProxy 的插件,具体步骤可自行搜索查找),同时 阅读全文
posted @ 2026-02-24 20:22 小哲18 阅读(21) 评论(0) 推荐(0)
 

2026年2月2日

kali 基础介绍(Services and Other Tools——服务及其他工具)
摘要: 一、Services and Other Tools(服务及其他工具) (一)Kali & Offsec Links 图中展示的是Kali Linux系统中“Kali & Offsec Links”分类下的官方资源入口,这些链接主要为安全研究人员、渗透测试人员和学生提供技术支持、学习资料和社区交流平 阅读全文
posted @ 2026-02-02 15:20 小哲18 阅读(41) 评论(0) 推荐(0)
 

2026年2月1日

kali 基础介绍(Impact、Forensics)
摘要: 一、Impact(影响) 这是Kali Linux系统中的一款核心网络协议分析与数据包操纵工具——Scapy。它是一个基于Python的交互式工具,能够发送、接收、嗅探、解析和伪造各种网络数据包,广泛用于网络安全测试、协议分析和网络故障排查。 Scapy 工具总体介绍 Scapy 是一个功能强大且灵 阅读全文
posted @ 2026-02-01 17:55 小哲18 阅读(36) 评论(0) 推荐(0)
 

2026年1月31日

kali 基础介绍(Command and Control、Exfiltration)
摘要: 一、Command and Control(命令与控制) (一)Application Layer Protocol 这是Kali Linux系统中“应用层协议”工具集,包含6款用于测试WebDAV、Windows远程管理、SMB、RDP及通用网络协议的渗透测试工具。它们主要用于应用层协议分析、远程 阅读全文
posted @ 2026-01-31 12:14 小哲18 阅读(19) 评论(0) 推荐(0)
 
下一页
 
博客园  ©  2004-2026
浙公网安备 33010602011771号 浙ICP备2021040463号-3