XSS漏洞利用---GET型XSS漏洞获取用户Cookie信息

最新推荐文章于 2022-09-13 13:11:25 发布
最新推荐文章于 2022-09-13 13:11:25 发布
阅读量1.1k 收藏 2
点赞数 1
分类专栏: web 安全 文章标签: xss 安全 web cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ethan024/article/details/114485001
版权

**

XSS漏洞利用(本文仅供技术学习与分享)

**

GET型XSS漏洞获取用户Cookie信息

我们都知道XSS漏洞可以让浏览器弹框,但是不知道有什么实际的危害。下面我用皮卡丘靶场来做实验。

实验准备

  1. 皮卡丘平台为存在XSS漏洞平台的站点;
  2. 用户正常访问该站点;
  3. 攻击者搭建的,以供收集数据的后台(皮卡丘后台预备好了pkxss平台);

实验思路

  1. 攻击者在pkxss后台创建一个接收数据的接口;
  2. 攻击者在存在XSS漏洞的站点上插入恶意脚本;
  3. 正常的用户访问XSS页面,触发脚本;站点随即返回恶意JS的页面给用户,并在用户的浏览器端执行;
  4. JS获取用户的Cookie信息并发送到攻击者的pkxss后台;
  5. 攻击者获取用户的Cookie信息,伪造用户登录,造成破坏。

备注:pkxss登录页面为http://localhost/pikaqiu.cn/pkxss/xcookie/pkxss_cookie_result.php
后台处理页面为http://localhost/pikaqiu.cn/pkxss/xcookie/cookie.php

实验步骤

  1. 打开反射型XSS平台:http://localhost/pikaqiu.cn/vul/xss/xss_reflected_get.php,输入框做了字符长度限制,将其改成10000&#

最低0.47元/天 解锁文章
汉堡哥哥27
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
【网络安全 --- XSS漏洞利用实战】你知道如何利用XSS漏洞进行cookie获取,钓鱼以及键盘监听吗?--- XSS实战篇
m0_67844671的博客
10-05 3679
你知道xss漏洞如何利用吗?本篇文章详细介绍了利用XSS漏洞如何实现cookie盗取,钓鱼获取用户名密码以及监听键盘记录等,让你对xss漏洞进一步认识。
3-5通过XSS获取cookie以及XSS后台管理系统的使用
山兔的博客
04-23 3862
XSS漏洞测试:cookie获取和钓鱼攻击演示  XSS漏洞测试:cookie的窃取和利用 同时讲到getxss利用,postxss利用XSS漏洞测试:钓鱼攻击  XSS漏洞测试:xss获取用户键盘记录 让大家更好的理解xss的危害以及原理 案例1:xss如何获取cookie? GETXSS利用cookie获取 pkxss管理后台使用介绍 在源码包里面,有一个pkxss,我们可以把这个目录,单独的放在某个目录下面,这个东西其实是一个可以独立使用的后台,我们可以单独的把他放在站点目录下
XSS获取目标cookie,伪造身份获取目标权限
qq_57663276的博客
08-23 3136
未知攻,何来防。网络安全靶场学习:XSS(跨站脚本攻击),使用XSS伪造目标权限。
XSS漏洞利用
LizePing_的博客
07-29 4703
XSS利用利用XSS窃取cookieXSS修改网页XSS获取用户信息XSS+CSRF 组合拳盲打XSS(Blind XSS)利用开启HttpOnly下的利用1.phpinfo页2.框架钓鱼3.跳转钓鱼4.历史密码5.获取源码6.通过xss伪造oauth等授权请求,远程登录其它 利用XSS窃取cookie 窃取cookiexss利用最常见的手段,攻击者有了cookie就相当于拥有了“管理员”身份。 通常需要配合xss平台来进行攻击,当被攻击者访问到有恶意代码的页面,他的cookie就会被发送到xss平台。
get方式的xss漏洞利用
qq_43814486的博客
04-15 2626
原理:后端没有对信息的输入和输出进行处理。提交信息(精心构造的payload)后,页面实质是把信息通过URL传到后台,也就是说,每一次通过浏览器进行这个URL访问的时候都会执行我们刚刚提交的信息(精心构造的payload)大致过程如图: 插一个小知识:通过前端对输入框进行限制其实是没用的,可以通过查看前端的代码找到对应的代码进行修改,如图: ...
WEB漏洞】第三章 XSS(一)
人间体佐菲的博客
09-13 566
XSS漏洞攻击描述
第二节 XSS盗取cookie-01
最新发布
09-15
Web安全领域中,XSS(Cross-Site Scripting)是一种常见的攻击手法,通过inject恶意脚本来盗取用户Cookie信息。下面我们将详细介绍XSS盗取cookie的攻击原理、实施方法和防御策略。 Cookie介绍 CookieWeb...
CSRF漏洞防御-01
09-15
POSTToken泄露利用XSS漏洞读取Cookie获取存储在其中的Token值。这两种方法都可以让攻击者获取Token,从而进行攻击。 CSRF漏洞防御非常重要,需要采用多种方法来防御CSRF攻击。验证码防御、Referer Check防御、...
SQL+XSS漏洞修复方案
04-13
SQL注入和跨站脚本(XSS)是两种常见的网络安全漏洞,它们对网站的数据安全性和用户隐私构成严重威胁。在本文中,我们将深入探讨这两种漏洞的原理、危害以及如何通过核心代码修复这些问题。 首先,SQL注入是攻击者...
Python-XSSFinder用于检测网站中反射的xss工具集
08-10
- 用户cookie、登录凭证等敏感信息被盗取。 - 对用户进行钓鱼攻击,诱导用户提供更多信息。 - 在用户浏览器中执行任意JavaScript代码,如更改页面内容、弹窗、跳转等。 **XSSFinder功能详解** 1. **自动化的扫描...
商业编程-源码-简单用户管理源码(入门级).zip
06-23
10. **安全最佳实践**:源码应该遵循安全编码原则,例如防止SQL注入、XSS攻击,以及对敏感信息的加密处理。 通过学习和理解这个入门级用户管理源码,开发者不仅可以掌握基本的编程概念,还能了解到如何构建实际的...
xss漏洞-DVWA跨站攻击盗取用户cookie
CKT_GOD的博客
09-18 3491
程Kaedy.cn-www.kaedy.cn XSS跨站脚本攻击介绍 跨站脚本攻击英文全称为(Cross site Script)缩写为 CSS,但是为了和层叠样式表(Cascading Style Sheet)CSS 区分开来,所以在安全领域跨站脚本攻击叫做 XSS XSS 攻击简介 XSS 攻击通常指黑客通过往 Web 页面中插入恶意 Script 代码,当用户访问网页时恶意代码在用户的 浏览器中被执行,从而劫持用户浏览器窃取用户信息。 1、黑客加在特定 web 页面 index.html 中,加入
简单的利用XSS获取用户cookie
shy的博客
10-25 4274
跨站脚本攻击(XSS) 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 这里简单的演示下,将cookie获取到自己的搭...
技术报告:XSS盗取Cookie
Ciyaso的博客
02-16 1418
文章目录第1章 绪 论1.1 XSS1.1.1 XSS的介绍1.1.2 XSS的种类1.2 Cookie1.2.1 Cookie的介绍1.2.2 Cookie的特性1.2.3 Cookie的功用第2章 相关技术与基础知识简介2.1 基本漏洞测试工具2.2 反射XSS盗取Cookie第3章 漏洞检测实时演示3.1 演示环境3.2 演示步骤3.2.1构建盗取链接3.2.2利用cookie会话劫持3.2.3 上传一句话webshell3.2.4进一步信息读取总 结 第1章 绪 论 1.1 XSS 1.1.1
xss漏洞】getcookie获取利用实验
weixin_43526443的博客
04-17 540
一、提前了解       Script方法: 方法 释意 document.location=‘url’ 转跳指定url document.cookie 返回该页面cookie值 二、攻击方后台配置       被攻击方url转跳自动运行php后,通过xss传入此时cooki...
常见web安全漏洞修复方案(全面)
热门推荐
Websec
03-04 1万+
第一章 SQL注入漏洞 第一节 漏洞介绍 概述:SQL注入攻击包括通过输入数据从客户端插入或“注入”SQL查询到应用程序。一个成功的SQL注入攻击可以从 数据库中获取敏感数据、修改数据库数据(插入/更新/删除)、执行数据库管理操作 (如关闭数据库管理系统)、恢 复存在于数据库文件系统中的指定文件内容,在某些情况下能对操作系统发布命令。SQL注入攻击是一种注入攻击。 它将SQL命令注入到数据层输...
渗透测试:XSS漏洞定义及防护
WEL测试
12-22 910
什么是XSS XSS(cross site script)或者说跨站脚本是一种web应用程序的漏洞,恶意攻击者往web页面里插入恶意script代码,当用户浏览该页之时,嵌入其中web里面的script代码会被执行,从而达到恶意攻击用户的目的。 跨站脚本漏洞风险 盗取用户cookie,然后伪造用户身份登录,泄露用户个人身份及用户订单信息。 操控用户浏览器,借助其他漏洞可能会导致对https加密信息的破解,导致登录传输存在安全风险。 结合浏览器及其插件漏洞,下载病毒木马到浏览器的计算机上执行。 修改页面内容
ctf xss利用_利用存储XSS跨站漏洞偷取用户Cookie实战
weixin_42611310的博客
02-23 1586
声明 :严禁读者利用以下介绍知识点对网站进行非法操作 , 本文仅用于技术交流和学习 , 如果您利用文章中介绍的知识对他人造成损失 , 后果由您自行承担 , 如果您不能同意该约定 , 请您务必不要阅读该文章 , 感谢您的配合 !攻击者要偷取Cookie , 就要让他们精心构造的恶意代码在受害者的计算机上运行 , 一般来说 , 是在用户访问一个网页的时候执行一段JavaScript代码 , 这段代码会...
XSS漏洞利用cookie获取
good good study
08-01 9895
目录 环境搭建 盗取cookie 关于documen.cookie获取不到cookie httponly 刚学习xss的时候我们都知道只要能弹窗就肯定存在xss漏洞,也知道xss是可以盗取cookie的,但是至于怎么盗取cookie其实很多同学可能还不是很清楚,也可能并没有实质性的去探讨过这个问题。 环境搭建 思路:攻击者本地搭建的一个网站存在xss漏洞,并且在与网站同一个ip的服务器中使用浏览器进行了登录,此时访问了一个恶意链接,这个恶意链接,直接将cookie获取并发送到hacker服务
ctf里xss漏洞的flag可能在哪些地方
03-31
XSS漏洞的flag可能在以下几个地方: 1. 页面文本内容:flag可能被嵌入到页面文本内容中,如标题、正文、注释等。 2. URL参数:flag可能被嵌入到URL参数中,如在GET请求中,flag可能被嵌入到URL的查询字符串中。 3. Cookie:flag可能被嵌入到Cookie中,如果网站使用了Cookie来存储用户信息或者状态。 4. HTTP头部信息:flag可能被嵌入到HTTP头部信息中,如Referer、User-Agent等。 5. 表单数据:flag可能被嵌入到表单数据中,如用户名、密码等。 需要注意的是,有些CTF比赛会对flag做一些加密,所以需要对获取到的数据进行解密才能得到真正的flag。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

汉堡哥哥27

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值