XSS盗取用户信息

最新推荐文章于 2023-12-21 12:01:51 发布
最新推荐文章于 2023-12-21 12:01:51 发布
阅读量955 收藏 8
点赞数 1
分类专栏: XSS 文章标签: XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43776408/article/details/107620487
版权

盗取用户信息原理

类似于你要登QQ
我给你一个链接
你点开这个链接登录
你的用户名和密码都保存在这个链接所对应的服务器上
就不是官方服务器上了
在这里插入图片描述

setookit工具克隆网站

在这里插入图片描述
直接kali中输入setookit
假设win的IP地址为0.100
我们准备克隆下面的网站
192.168.0.100/dvwa/login.php
在这里插入图片描述
然后kali中的setookit中有很多选项
1231确定
下图你可以看到使用的是kali默认的IP0.104
然后再Enter the url后输入你想要克隆的网站URL
就刚才那个URL
在这里插入图片描述
最后你在浏览器输入kali的IP192.168.0.104
就看到了刚才克隆的网站页面
即就是把192.168.0.100/dvwa/login.php克隆成192.168.0.104
本来你访问192.168.0.104是不会出现结果的
克隆之后
输入192.168.0.104就会出现192.168.0.100/dvwa/login.php的页面

存储XSS跳转克隆网站

接上面的
你已经让192.168.0.104进行跳转到192.168.0.100/dvwa/login.php
在这里插入图片描述
提交之后
你会发现页面跳转到了192.168.0.100/dvwa/login.php
在这里插入图片描述
因为是存储型
现在我们退出重新登录,看能不能出现跳转
事实证明可以跳转
毕竟是存储型XSS

查看盗取的账号和密码

接上一步
重新登录就触发了XSS漏洞
你看到的新登录页面其实是恶意的
并不是官方的
现在你在新登录的页面的输入账号密码
然后返回kali
你会看到
你的账号和密码都被盗取了
在这里插入图片描述

加油开心
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第四节 XSS盗取用户信息-01
09-15
第四节 XSS盗取用户信息-01
使用xss钓鱼盗取用户cookie
m0_74805513的博客
07-27 826
那么可以看到第一步写入成功了,将cookie写入了我们事先建立好的网站,并且保存了下来,我们在点开gtck.html 去更加细致的查看里面是否有我们保存的cookie。这行代码也很简单,就是加载后转到我们搭建的web网页,向我们的网页传入用户的cookie,document.location='url'起到页面加载后转到。很简单的一个网页主要用来接收用户cookie,然后写入gtck.html文件里,然后我们在创建gtck.html文件,用来保存用户cookie。
xss攻击详解
剁椒鱼头没剁椒的博客
11-15 7485
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
如何通过 Password Vault 的 XSS 漏洞窃取用户密码信息
最新发布
VN520的博客
12-21 935
目前,随着安全意识的逐渐普及,越来越多的用户开始使用多种密码保管箱、密码管理器来帮助存储不同网站的不同密码。那么,这些密码存储软件是否足够安全呢?在研究过程中,我发现在与 Password Vault 相同的域中存在一个跨站脚本漏洞,借助该漏洞可以实现对 Password Vault 的破解。
渗透测试-xss漏洞之反射型(post)获取用户密码
lza20001103的博客
04-24 3448
xss之反射型(post)获取用户密码
【网络安全 --- XSS漏洞利用实战】你知道如何利用XSS漏洞进行cookie获取,钓鱼以及键盘监听吗?--- XSS实战篇
m0_67844671的博客
10-05 2518
你知道xss漏洞如何利用吗?本篇文章详细介绍了利用XSS漏洞如何实现cookie盗取,钓鱼获取用户名密码以及监听键盘记录等,让你对xss漏洞有进一步认识。
Web应用安全:XSS盗取cookiepayload.pptx
06-18
Cookie 并不是它的原意“甜饼”的意思, 而是一个保存在客户机中的简单的文本文件, 这个文件与特定的 Web 文档关联在一起, 保存了该客户机访问这个Web 文档时的信息, 当客户机再次访问这个 Web 文档时这些信息可供该...
预防XSS攻击和SQL注入XssFilter
05-19
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin...
戏耍XSS的一些技巧
02-20
当你手工或者软件挖到一个页面的xss时(无论是反射xss或者储蓄xss都可以),这个时候想要深入的利用这个漏洞,该怎么做呢?用WebRTC来内网端口检测?盗取cookies(登陆页面和注册页面一般都不会有用户cookies)?用...
xss跨站脚本攻击
weixin_42374938的博客
08-13 211
xss是一种在客户端利用JavaScript脚本获取敏感信息的攻击行为。
XSS盗取用户信息实验(详细)及xss之旅闯关
m0re's blog
05-29 1175
本文目录前言小实验实验环境实验实验过程xss之旅 前言 近段时间学习xss,进行了比较详细的了解,也学了一个小实验,感觉挺有意思,记录下来。然后,后面就是xss之旅的闯关。 小实验 实验环境 DVWA、kali linux、物理机或一台windows系统的虚拟机。 实验 实验原理: 克隆网站登录页面,利用存储xss设置跳转代码,如果用户访问即跳转到克隆网站的登录页面,用户输入登录,账号和密码被存储...
xss盗取cookie原理剖析
weixin_51692662的博客
10-19 1691
xss盗取cookie
xss漏洞-DVWA跨站攻击盗取用户cookie值
CKT_GOD的博客
09-18 3287
程Kaedy.cn-www.kaedy.cn XSS跨站脚本攻击介绍 跨站脚本攻击英文全称为(Cross site Script)缩写为 CSS,但是为了和层叠样式表(Cascading Style Sheet)CSS 区分开来,所以在安全领域跨站脚本攻击叫做 XSS XSS 攻击简介 XSS 攻击通常指黑客通过往 Web 页面中插入恶意 Script 代码,当用户访问网页时恶意代码在用户的 浏览器中被执行,从而劫持用户浏览器窃取用户信息。 1、黑客加在特定 web 页面 index.html 中,加入
简单的利用XSS获取用户cookie
shy的博客
10-25 4237
跨站脚本攻击(XSS) 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 这里简单的演示下,将cookie获取到自己的搭...
渗透测试 | 一次利用XSS读取源码
MachineGunJoe666
05-17 636
常规的XSS利用方式主要有窃取cookie、恶意链接、获取键盘记录、网页钓鱼、挂马等等,本次渗透首先通过XSS漏洞,利用XMLRequest发起ajax请求,实现了发起http请求的目的,并且把请求的结果返回了,通过代码审计,打开了突破的口子。后续还运用到了Nosql注入、绕过2FA验证、kdbx文件解密等等技术,渗透过程涉及很多小的知识点,充满乐趣与挑战,下面开始此次渗透之旅。
第四章-XSS漏洞
guoyuxin3的博客
11-02 908
第四章-XSS漏洞 第一节 XSS跨站脚本分类 1.1 XSS漏洞介绍 ​ 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 ...
利用XSS窃取用户Cookie
Monsterlz123的博客
07-20 6790
XSS】利用XSS窃取用户Cookie Hello,各位小伙伴周六愉快。 晃眼之间一周又快要过去了,时间是不等人滴~~ 这周准备连发三篇XSS相关内容,两篇实战,一篇总结。 然后XSS漏洞部分就暂时完结啦~~ 今天我们来看看怎么利用XSS窃取用户cookie吧。 一、实验概述 实验拓扑: XSS的用途之一就是窃取用户的cookie,攻击者利用XSS在网站中插入恶意脚本,一旦用户访问该网页...
XSS注入-盗取用户信息和内容篡改
qq_25899635的博客
05-28 1877
cookie介绍   Cookie是在HTTP协议下,服务器或脚本可以维护客户工作站上信息的一种方式。Cookie是由Web服务器保存在用户浏览器(客户端)上的小文本文件,它可以包含有关用户的信息。   目前有些Cookie是临时的,有些则是持续的。临时的Cookie只在浏览器上保存一段时间,一但超过规定时间,该Cookie就会被系统清除。   服务器可以利用Cookie包含信息的任意性来筛选并经...
XSS之截获某用户cookie信息
l31299的博客
05-28 2836
XSS反射型攻击方式实例
xss盗取cookie
07-28
XSS(跨站脚本攻击)是一种常见的网络安全漏洞,攻击者通过在网页中插入恶意脚本来获取用户的敏感信息,如cookie。根据引用内容,可以看出这是一个关于XSS攻击的示例代码和描述。 引用\[1\]是一个PHP代码片段,它将通过GET请求获取的cookie信息写入到一个名为cookie.txt的文件中。 引用\[2\]是一个JavaScript代码片段,它将用户的cookie信息发送到一个指定的URL,以便攻击者可以收集这些信息。 引用\[3\]描述了一个XSS攻击的实例,其中恶意脚本被插入到URL中,当用户访问该URL时,恶意脚本将被执行,导致用户的cookie信息被显示出来。 要防止XSS攻击,开发人员应该对用户输入进行严格的过滤和转义,以确保恶意脚本无法被执行。用户也应该保持浏览器和操作系统的更新,并避免点击可疑的链接或下载未知来源的文件,以减少受到XSS攻击的风险。 #### 引用[.reference_title] - *1* *2* [xss盗取cookie原理剖析](https://blog.csdn.net/weixin_51692662/article/details/127407078)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [网络安全实验6 认识XSS & 盗取cookie](https://blog.csdn.net/qq_37672864/article/details/104119221)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值