文章总结： 该文档介绍了一个交互式XSS漏洞演示靶场，模拟真实技术论坛环境，包含钓鱼攻击、Cookie窃取、存储型和反射型XSS等多种攻击演示功能。工具提供完整的安装配置指南和使用流程，支持PHP环境部署，旨在帮助安全研究者和开发者理解XSS攻击原理及防御方法。文档还提供了工具获取方式和往期相关安全工具推荐。 综合评分： 78 文章分类： WEB安全,安全培训,实战经验,安全意识,漏洞分析

好用！XSS漏洞演示靶场 | 交互式XSS、攻击演示平台、钓鱼攻击、Cookie窃取演示

Guojin0826 Guojin0826

夜组安全

2026年5月28日 08:00 青海

在小说阅读器读本章

去阅读

免责声明

由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号夜组安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！所有工具安全性自测！！！VX：NightCTI

朋友们现在只对常读和星标的公众号才展示大图推送，建议大家把夜组安全“设为星标”，否则可能就看不到了啦！

工具简介

这是一个拟真的XSS（跨站脚本攻击）漏洞演示靶场，模拟真实的技术论坛场景，帮助安全研究者和开发者理解XSS攻击的原理和防御方法。🎯 XSS漏洞演示靶场 – 交互式XSS攻击演示平台，包含钓鱼攻击、Cookie窃取演示，适合安全教育教学 。

演示入口页面

论坛主页面

钓鱼登录页面

凭据查看页面

Cookie查看页面

✨ 功能特性

• 🎣 钓鱼攻击演示 – 窃取用户账号密码
• 🍪 Cookie窃取演示 – 窃取用户会话信息
• 📝 存储型XSS – 留言板评论功能
• 🔍 反射型XSS – 搜索功能演示
• 🎨 拟真界面 – 模拟真实技术论坛
• 📊 实时数据查看 – 查看窃取的凭据和Cookie

🚀 快速开始

环境要求

• PHP 5.6 或更高版本
• Apache/Nginx Web服务器
• 现代浏览器（Chrome、Firefox、Edge等）

安装步骤

1. 克隆项目

git clone https://github.com/Guojin0826/xss-lab.git
cd xss-lab

2. 配置Web服务器

将项目目录指向Web服务器的根目录或虚拟主机目录。

Apache配置示例：

<VirtualHost *:80>
&nbsp; &nbsp; DocumentRoot "D:/www/xss-lab"
&nbsp; &nbsp; ServerName xss-lab.local
</VirtualHost>

3. 设置目录权限

确保 data/ 目录可写：

chmod 755 data/

4. 访问演示

打开浏览器访问：http://localhost/demo.php

📚 使用指南

演示流程

1. 访问演示入口 – 打开 demo.php
2. 注入恶意代码 – 在论坛评论区输入XSS Payload
3. 触发攻击 – 刷新页面或点击触发按钮
4. 查看结果 – 访问凭据查看器查看窃取的数据

攻击类型

| 攻击类型 | 演示文件 | 说明 | | — | — | — | | 钓鱼攻击 | forum.php | 窃取用户账号密码 | | Cookie窃取 | forum.php | 窃取用户会话信息 | | 存储型XSS | forum.php | 评论功能注入 | | 反射型XSS | forum.php | 搜索功能注入 |

工具获取

点击关注下方名片进入公众号

回复关键字【260528】获取下载链接

往期精彩

[NGINX Rift — CVE-2026-42945 漏洞扫描与验证工具

2026-05-27

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496912&idx=1&sn=32139e8eb027427f436c7769ce5f1d68&scene=21#wechatredirect)[AI Agent 驱动的代码安全审计技能包 — 企业级 SAST、LLM 红队测试、自动化代码审查

2026-05-26

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496907&idx=1&sn=985aac39798b4048c72f711d67ff1e29&scene=21#wechatredirect)[Skill 评估与提升专家 | 评估和提升其他 Skill 的能力、提供基准测试、红队测试和自主改进循环

2026-05-25

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496902&idx=1&sn=e900792a357bfc5751ad214c78e79b78&scene=21#wechatredirect)[一个面向安全团队、渗透测试、资产侦察、威胁追踪和红队编排的 AI CLI

2026-05-22

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496888&idx=1&sn=e6b250cdeb0076d7dc5851402a02bbc3&scene=21#wechatredirect)[AI代码审查助手 | 支持30+语言，自动发现Bug/安全漏洞/性能问题

2026-05-21

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496862&idx=1&sn=0aa9360f536a44cad0353946bc3e2278&scene=21#wechatredirect)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：夜组安全 Guojin0826 Guojin0826《好用！XSS漏洞演示靶场 | 交互式XSS、攻击演示平台、钓鱼攻击、Cookie窃取演示》