XSS攻击——cookie

最新推荐文章于 2024-06-21 23:18:02 发布
最新推荐文章于 2024-06-21 23:18:02 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: 笔记 文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46277212/article/details/118161202
版权
本文介绍了cookie的基本概念,它是如何在用户访问网页时存储和传递信息的。通过键值对形式,cookie可以记录用户数据,如用户名,并在用户下次访问时读取。JavaScript提供了创建、读取和修改cookie的接口。设置cookie的过期时间可以使其在特定日期后仍然有效。同时,文章也展示了如何使用JavaScript操作cookie的示例。
摘要由CSDN通过智能技术生成

cookie概述

cookie是一些数据,存储于用户电脑上的文本文件中。当web服务器向浏览器发送web页面时,在连接关闭后,服务器不会记录用户的信息。cookie的作用就是用于解决“如何记录客户端的用户信息”。

  • 当用户访问web页面时,用户名可以记录在cookie中。
  • 在用户下一次访问该页面时,可以在cookie中读取用户访问记录。

cookie以键值对形式存储。如

username=baixiaomao;

当浏览器从服务器上请求web页面时,属于该页面的cookie会被添加到该请求中。服务器端通过这种方式来获取用户的信息。

JavaScript可以使用document.cookie属性来创建,读取及删除cookie

JavaScript 中创建cookie

document.cookie ="username=baixiaomao";

为cookie添加一个过期时间(以UTC或GMT时间),默认情况下,cookie在浏览器关闭时删除。

document.cookie="username=baixiaomao;expires='Thu.20.Dec.2030.0:0:0.GMT";

使用JavaScript读取cookie

var x =document.cookie;
console.log(x);      //由控制台输出cookie

使用JavaScript修改cookie
在JavaScript中,修改与cookie创建相同,将旧的cookie值覆盖。

document.cookie 属性看起来像一个普通的文本字符串,其实它不是。
即使在document.cookie中写入一个完整的cookie字符串。当重新读取cookie信息时,cookie信息时,cookie信息是以键值对的形式展示的

白 小猫
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS(偷你的Cookies)
qq_27552077的博客
03-12 1万+
XSS(Cross Site Scripting),跨站脚本攻击,取名XSS是避免和CSS同名。XSS攻击原理:攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。同时这也因为HTTP采用的明文模式,这样就让黑客有机可乘了(在我另一篇文章介绍过利用fiddle可以捕获HTTP报文)。我发现网上很多关于XSS攻击的文章都没
cookiexss攻击、WebStorage
tx_blogs的博客
08-06 198
cookie cookie的定义 cookie实际上就是一些信息,这些信息以文件的形式存储在客户端计算机上。当用户访问了某个网站,可以通过cookie向访问者电脑上存储数据 cookie就是页面用来保存信息,比如自动登录,用户名 cookie作用 cookie的主要作用是保存信息,并与服务器互动,因此在很多情况下都可以使用到cookie。 密码 cookie:访当问者首次访问页面时,也许会填写密码。密码也可被存储于 cookie 中。当他们再次访问网站时,密码就会从 cookie 中取回
基于dvwa的存储性xss获取其中的cookie分享篇
weixin_47319512的博客
05-12 487
首先我们启动靶场,把难度级别调整到low,然后选择存储xxs,进入页面。
XSS漏洞—XSS平台搭建与打cookie
最新发布
goldfish8848的博客
06-21 1706
6. **避免内联事件**:避免在HTML中使用内联JavaScript事件处理器,如 `onLoad="onload('{{data}}')"` 或 `onClick="go('{{action}}')"`,因为这些容易受到XSS攻击。7. **避免拼接HTML**:前端采用拼接HTML的方法比较危险,如果可能,使用 `createElement`、`setAttribute` 等方法实现,或者采用成熟的渲染框架,如Vue或React。攻击者可能会尝试使用不同的字符编码或分隔符来绕过简单的输入验证。
简单的利用XSS获取用户cookie
shy的博客
10-25 4303
跨站脚本攻击(XSS) 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 这里简单的演示下,将cookie获取到自己的搭...
使用xss来打cookie
weixin_60719780的博客
11-11 1087
在我们的xss平台上,我们就可以收到一条信息,这也就说明了我们成功拿到cookie值,里面包含了cookie值;下来我们就可以使用cookie值进行登录,无需密码验证,到这里是不是感觉很爽。这里我们使用安全等级低的来做,使用xss存储型,只要大家能够绕过安全的等级(后面我会将存储型的三个等级绕过方式整理出来)下来我们重新使用一个浏览器打开我们的dvwa靶机,找到检查,找到cookie,进行修改。2、这里面有许多模块,自己选择所需要的就行,这里我使用的是默认模块。成功用cookie登录。
XSS获取cookie
11-19 179
在你服务器的html目录下创建joke文件夹; 在joke文件夹中创建joke.js 和joke.php joke.js 创建img标签,将它的src属性指向另一个脚本joke.php,这里关键的一点是:将页面的cookie作为参数附加到url后面 joke.js代码如下: var img = document.createElement('img'); img.wi...
javascript小工具之——cookie操作
08-08
这篇博客“javascript小工具之——cookie操作”很可能会探讨如何利用JavaScript进行有效的Cookie操作。 Cookie是由Web服务器发送到用户的浏览器并存储在本地的小型文本文件。它们由键值对组成,可以设置过期时间,...
机器学习实现web攻击检测——XSS、SQL注入、Webshell检测.zip
05-06
XSS攻击是指攻击者通过在网页中插入恶意脚本,使得用户在不知情的情况下执行这些脚本,从而窃取用户的敏感信息,如Cookie、登录凭据等。要检测XSS攻击,可以训练一个机器学习模型来识别潜在的恶意JavaScript代码片段...
XSS跨站脚本攻击在Java开发中防范的方法
01-09
在给定的部分内容中,提到了一种常见的XSS攻击实例——Yamanner蠕虫攻击。该攻击利用了Yahoo Mail的一个漏洞,当用户查看包含恶意JavaScript代码的邮件时,该代码会在用户的浏览器中执行。通过Ajax技术,病毒可以...
xss Cookie
10-09
xss利用工具 Cookie
XSS获取COOKIE
04-20
XSS获取COOKIE
XSS跨站脚本攻击方法初探
06-03
本文介绍了XSS攻击的基本原理及三种常见攻击方式——偷盗Cookie、利用iframe/frame和XMLHttpRequest。了解这些攻击手法对于提高Web应用的安全性至关重要。在未来的工作中,还需要不断研究更高级别的防护技术和策略,...
cookie基本内容介绍和xss攻击介绍已经解决xss攻击的方法
--=
05-11 988
cookie基本内容介绍和xss攻击介绍已经解决xss攻击的方法
利用XSS漏洞打cookie
qq_68163788的博客
01-15 1782
XSS漏洞是一种跨站脚本攻击,攻击者可以在受害者的浏览器中注入恶意脚本,从而获取用户的敏感信息,如cookie。 当受害者访问包含恶意脚本的页面时,恶意脚本会获取受害者的cookie信息,并将其发送到攻击者的服务器。攻击者可以利用这些cookie信息来冒充受害者进行各种操作,比如登录受害者的账户。为了防止XSS漏洞,网站开发者应该对用户输入进行严格的过滤和验证,避免将未经验证的用户输入直接输出到页面上。另外,网站可以使用XSS防护工具或者采用安全的编程实践来防止XSS漏洞的发生。
2021-07-01-web安全之XSS攻击Cookie知识详解(一)
公子&小白的博客
07-01 738
文章目录XSS攻击XSS攻击原理XSS攻击类型反射型XSS存储型XSSDOM XSS手动检测XSS全自动检测XSSXSS高级利用XSS会话劫持Cookie理解Cookie内容详解 XSS攻击 XSS又叫CSS,即跨站脚本攻击—攻击者通过浏览器在网页中嵌入客户端脚本,通常是js恶意代码,当用户使用浏览器时,脚本就会在浏览器上执行 XSS是客户端攻击,受害者最终是用户,但是管理员也是用户,管理员权限很大,受到攻击影响很严重 XSS攻击原理 XSS攻击原理:引诱用户去点击其脚本,通过运行其脚本获取Cooki
【网络安全 --- XSS漏洞利用实战】你知道如何利用XSS漏洞进行cookie获取,钓鱼以及键盘监听吗?--- XSS实战篇
m0_67844671的博客
10-05 4066
你知道xss漏洞如何利用吗?本篇文章详细介绍了利用XSS漏洞如何实现cookie盗取,钓鱼获取用户名密码以及监听键盘记录等,让你对xss漏洞有进一步认识。
网络安全学习笔记——盗取Cookies跨站脚本(XSS
just do it
07-24 1416
使用替换过了的URL发给目标,诱导目标点击,然后目标的cookies就会回弹到XSS攻击平台上,展开就可以看到该目标的PHPSESSID,然后在自己的同源网站上,笔记本按Fn+F12,调出Hackerbar,点击存储,然后把PHPSESSID换成攻击之后得到的,删掉浏览框里面多余的东西,剩下XXX.php即可,刷新之后就会登录该目标的账号——,SESSID——中间键,是Apache分配的,唯一的“身份证”,从SESSID入手,就可以查取用户的相关信息。
XSS攻击实验室:窃取cookies与操纵用户好友
这演示了存储型XSS攻击,攻击者可以长期窃取受害者的cookie,实现持久性的会话劫持。 **Task4: Becoming the Victim’s Friend** 最后的任务涉及到更复杂的攻击,攻击者构造了一个恶意脚本,当页面加载时自动发送一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值