XSS盗取cookie

最新推荐文章于 2023-07-24 18:41:26 发布
最新推荐文章于 2023-07-24 18:41:26 发布
阅读量985 收藏 3
点赞数 1
分类专栏: XSS 文章标签: XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43776408/article/details/107606970
版权

cookie介绍

在这里插入图片描述

反射XSS盗取cookie

location是重定向一个新的URL
在这个新的URL中提交cookie参数
后面的document是属于之前ur
获取当前网站的cookiel

cookie.php代码意思
通过get方式获取当前cookie
然后写到文件中
在这里插入图片描述
复制代码到网址栏后
或者复制到DVWA框中
返回网站根目录
出现cookie文件
在这里插入图片描述

利用cookie会话劫持

把画红圈中的内容修改为cookie.txt中的内容
这样的话就直接登陆了
就不用还要login.php
直接index.php
你应该能理解
在这里插入图片描述
左边复制了cookie.txt中的cookie
右边为登录成功的界面
如果cookie为错误的
那么会返回login.php
在这里插入图片描述

劫持会话后的操作

在这里插入图片描述
用劫持的cookie登录到系统后
选择File Upload准备上传文件
在这里插入图片描述
然后新建一个文本文件
里面写入一句话木马
然后上传
最后用中国菜刀连接
连接时你要注意目标IP和一句话木马文件的位置
位置在下图右边的DVWA下的红字
在这里插入图片描述
成功
在这里插入图片描述

加油开心
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第二节 XSS盗取cookie-01
09-15
第二节 XSS盗取cookie-01
web安全学习笔记(八) XSScookie劫持
qycc3391的博客
03-06 1502
上一文中提到XSS的分类,本文将演示如何通过XSS进行cookie劫持,并且伪装登录。 再cookie劫持中,有三种身份,分别是服务器,普通用户以及攻击者。这里使用本机和两台台虚拟机完成这项工作。基本思路如图所示: 首先,攻击者发现某个网站存在XSS漏洞,于是编写恶意代码。当用户访问带有恶意代码的网站时,会将通过恶意代码,将cookie发送给攻击者。当攻击者获取cookie后,便可以使用cook...
XSS基础入门/从0到1/非常基础/cookie/会话劫持
ChenD的学习笔记
10-10 1410
cookie介绍、XSS类型、XSS盗取cookie、利用Cookie劫持会话
XSS (跨站脚本攻击) 分析与实战
未完成的歌~的博客
01-14 5101
文章目录一、漏洞原理1、XSS简介:2、XSS原理解析:3、XSS的分类:3.1、反射型XSS3.2、存储型XSS3.3、DOM型XSS二、靶场实战XSS实现盗取管理员Cookie并登录: 一、漏洞原理 1、XSS简介: XSS全称:Cross Site Scripting,即跨站脚本攻击,为了不和“层叠样式表”(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是最常见的 Web 应用程序安全漏洞之一,这类漏洞能够使攻击者嵌入恶意脚本代码(一般是JS代
cookie劫持
qq_41048303的博客
08-15 1124
pikachu靶场—cookie劫持 一.劫持的原理 ​ 利用XSS漏洞,对存在漏洞的位置进行测试,并写出payload。 ​ 将构造好的链接发送给用户,用户点击后就会将自己的cookie发送到攻击者提前布好的网站。 ​ 这次使用的是pikachu靶场,里面就存在着XSS相关的漏洞。 二、劫持的过程 环境说明 服务器: windows 7(pikachu靶场) IP:192.168.254.136 用户: windows 10 IP:192.
会话劫持漏洞小结——cookie劫持的方式、属性、原理、危害及防御
7Riven's blog
12-29 3835
会话劫持 概念 会话劫持(Session hijacking)是一种通过获取用户Session ID后,使用该Session ID登录目标账号的攻击方法,此时攻击者实际上是使用了目标账户的有效Session。会话劫持的第一步是取得一个合法的会话标识来伪装成合法用户。 注:Session ID一般都设置在cookie 步骤 目标用户需要先登录站点 登...
Web应用安全:XSS盗取cookiepayload.pptx
06-18
XSS 盗取cookie payload 4 Cookie的后利用 3 XSS 盗取cookie payload 实例演示 2 XSS 盗取cookie payload 原理分析 1 cookie简介 目录 cookie简介 Cookie 并不是它的原意“甜饼”的意思, 而是一个保存在客户机中的...
XSS获取COOKIE
04-20
XSS获取COOKIE
第四节 XSS盗取用户信息-01
最新发布
09-15
第四节 XSS盗取用户信息-01
Web应用安全:XSS盗取cookiepayload(实验习题).docx
06-17
Web应用安全:XSS盗取cookiepayload(实验习题).docx
php劫持cookie,php 处理cookie的类功能实例
weixin_39601641的博客
03-10 103
/*** 一个用于处理cookie的PHP类** @param* @arrange 网: 512Pic.com**/class cookieClass{var $cName = '';var $cTime = '';var $cSerialize = false;var $cPath = '';function cookieClass($cookieName,$cookieTimeout,$coo...
利用XSS窃取用户Cookie
Monsterlz123的博客
07-20 6743
XSS】利用XSS窃取用户Cookie Hello,各位小伙伴周六愉快。 晃眼之间一周又快要过去了,时间是不等人滴~~ 这周准备连发三篇XSS相关内容,两篇实战,一篇总结。 然后XSS漏洞部分就暂时完结啦~~ 今天我们来看看怎么利用XSS窃取用户cookie吧。 一、实验概述 实验拓扑: XSS的用途之一就是窃取用户的cookie,攻击者利用XSS在网站中插入恶意脚本,一旦用户访问该网页...
多次登录同一cookie skey 【低危】
战神/calmness的博客
08-31 380
简介 多次登录同一cookie skey 1234567890000000,可能使攻击者获得用户的会话凭证 发现目标存在永久性Cookie。这可能使攻击者通过其他方式获得用户的会话凭证,这个时候,例如利用xss漏洞获得Cookie或者Session劫持就很有效了,具体分析应用程序的认证,然后使用某些技巧,甚至可以即使对方退出程序也一样永久性获得对方的身份,在未来很长时间甚至永久的控制账户 过程 打开网页抓包看流量包内信息 重复登录抓包显示 建议 不要设置cookie为...
记录利用ettercap进行简单的arp欺骗和mitm攻击过程
weixin_30718391的博客
08-03 537
方法均来自网络,本人只是记录一下自己操作的过程,大神请无视之~攻击主机平台:kali-linux 被攻击主机:安卓手机192.168.1.107 (在同一局域网内)1.利用ettercap进行arp欺骗:root权限下打开ettercap:ettercap -C (curses UI) ettercap -G (GTK+ GUI)curses UI工作...
Web安全笔记-Fidder与浏览器找关键CookieCookie劫持前的准备)
IT1995的博客
08-26 4532
目录 使用Fiddler的Replay and Edit找关键Cookie 使用浏览器找关键Cookie 使用Fiddler的Replay and Edit找关键Cookie 如下图: 通过修改Cookie 直接在raw上面修改,然后点击Run to Completion即可得到响应信息,通过响应信息,即可知道哪个是关键的Cookie。这个特别适用于有302临时重定...
白帽子讲Web安全
热门推荐
11-16 1万+
第一篇:世界观安全第一章:我的安全世界观一个网站的数据库,在没有任何保护的情况下,数据库服务端口是允许任何人随意连接的;在有了防火墙的保护后,通过ACL可以控制只允许信任来源的访问。这些措施在很大程度上保证了系统软件处于信任边界之内,从而杜绝了绝大部分的攻击来源。1.1.3Web安全的兴起常见攻击:SQL注入,XSS(跨站脚本攻击)“破坏往往比建设容易”,但凡事都不是绝对的。一般来说,白帽子选择的方
浏览器原理 32 # 跨站脚本攻击(XSS):为什么Cookie中有HttpOnly属性?
学习前端这门手艺,栈底到栈顶依次是:浏览器架构、Web 网络、事件循环机制、JavaScript 核心、V8 的内存管理、浏览器的渲染流程、Web 安全、CSS、React、Vue、Node、构建工具链等
06-11 1854
说明 浏览器工作原理与实践专栏学习笔记 前言 支持页面中的第三方资源引用和 CORS 也带来了很多安全问题,其中最典型的就是 XSS 攻击。 什么是 XSS 攻击 XSS 全称是 Cross Site Scripting,为了与“CSS”区分开来,故简称 XSS,翻译过来就是“跨站脚本”。XSS 攻击是指黑客往 HTML 文件中或者 DOM 中注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。 恶意脚本能做的事情: 窃取 Cookie 信息 监听用户行为 修改 DOM 在页
TOP16-XSS -- 小黑超细详解-+案例说明(盗取cookie登录)<宝藏文>
G_WEB_Xie的博客
04-03 1180
概念:通常指通过HTML注入篡改了网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。当入侵网站后,通过自己编定的脚本或者木马嵌入到网站页面,利用网站的流量将自己的网页木马传播出去从而达到自己的目的,当用户浏览网站的时候点击了编订的恶意程序脚本,从而达到获取用户信息,进行一系列未授权的操作。通俗理解:此漏洞主要以盗取用户信息, 获取用户的权限做一些越权操作,还可以结合其它漏洞进行一系列的攻击行为。
XSS平台偷取cookie使用+XSS漏洞
NSQ0207的博客
07-24 1871
在线利用网站:复制代码输入复制的代码查看获取到的cookie二、xss触发方式(1)在标签外:(2)在标签内:使用事件型:(先用引号闭合,看看是否有过滤如果有使用大小写试验)在标签内不能使用标签,使用标签标签内资源类型是url使用伪协议。
xss盗取cookie
07-28
XSS(跨站脚本攻击)是一种常见的网络安全漏洞,攻击者通过在网页中插入恶意脚本来获取用户的敏感信息,如cookie。根据引用内容,可以看出这是一个关于XSS攻击的示例代码和描述。 引用\[1\]是一个PHP代码片段,它将通过GET请求获取的cookie信息写入到一个名为cookie.txt的文件中。 引用\[2\]是一个JavaScript代码片段,它将用户的cookie信息发送到一个指定的URL,以便攻击者可以收集这些信息。 引用\[3\]描述了一个XSS攻击的实例,其中恶意脚本被插入到URL中,当用户访问该URL时,恶意脚本将被执行,导致用户的cookie信息被显示出来。 要防止XSS攻击,开发人员应该对用户输入进行严格的过滤和转义,以确保恶意脚本无法被执行。用户也应该保持浏览器和操作系统的更新,并避免点击可疑的链接或下载未知来源的文件,以减少受到XSS攻击的风险。 #### 引用[.reference_title] - *1* *2* [xss盗取cookie原理剖析](https://blog.csdn.net/weixin_51692662/article/details/127407078)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [网络安全实验6 认识XSS & 盗取cookie](https://blog.csdn.net/qq_37672864/article/details/104119221)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值