有效防御xss攻击的方法:XSS 攻击思路总结
有效防御xss攻击的方法:XSS 攻击思路总结模仿的 Flash Player 中文官网的页面项目地址:https://github.com/Wileysec/adobe-flash-phishing-page拿到这个后台就可以成功登陆了,Bingo ~当然如果管理员是一个有很高安全意识的人,可能是不会上当的,本案例仅供意淫参考使用,实际运用还是得看运气。这也是 B 站 视频里面提到过的方法,首先我们需要准备一个钓鱼页面,这里在 Github 上搜索到了 2 个 相关的项目,下面分别展示一下:
此时管理员到自己的 QQ 空间钓鱼管理中心里面看看今天又有哪些菜鸡上钩了,结果没想到网站浏览器却跳转到了:10.20.25.39 页面,这个就是我们制作的假的QQ 空间钓鱼管理中心的登录界面。
如果管理员大意的话,这个时候会以为登录会话超期了,需要重新登录,就在我们假的网站后台里面输入了真正的密码:
我们这个假的网站也非常妙,登录后自动转发到正确的网站登录成功,真是学以致用呀~~
管理员放松警惕的同时,我们的 Kali Linux 里也窃取到管理员的明文账号和密码信息了:
拿到这个后台就可以成功登陆了,Bingo ~
当然如果管理员是一个有很高安全意识的人,可能是不会上当的,本案例仅供意淫参考使用,实际运用还是得看运气。
思路三:Flash 钓鱼这也是 B 站 视频里面提到过的方法,首先我们需要准备一个钓鱼页面,这里在 Github 上搜索到了 2 个 相关的项目,下面分别展示一下:
项目地址:https://github.com/Wileysec/adobe-flash-phishing-page
模仿的 Flash Player 中文官网的页面
项目地址: https://github.com/r00tSe7en/Flash-Pop
这种的就要稍微激进一点,强迫症都会忍不住去点击下载的:
国光这里选择了第 2 种激进的方法,点击立即升级的这个按钮点击会下载好国光我准备好的 CS 木马。如果管理员以为自己的 Flash 版本过低的话,可能会下载并运行这个木马:
