XSS 漏洞利用实战-----获取管理员cookie ~简单~实用~

于 2024-07-23 21:44:14 发布
阅读量288 收藏 6
点赞数 3
文章标签: xss 安全 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48368964/article/details/140646764
版权

在初步探测到XSS漏洞时,此时我们可以使⽤xss在线平台,去获取⼀些我们需要的信息,⽐如
位置/键盘记录/IP地址/表单挟持

# 公⽹xss平台:
○ https://xss.pt/xss.php?do=login
○ https://xsshs.cn/xss.php?do=login    //失效
○ https://xssaq.com/xss.php?do=login
○ https://xs.sb/login/
# XSS平台项⽬:
○ https://github.com/78778443/xssplatform

XSS-窃取Cookie

详细步骤:

1.在以下⽹站注册账号并登陆

点击"创建项⽬"并填写项⽬名称...⽴即提交

https://xssaq.com/

2.在我的项⽬中选择我们刚创建的项⽬

3.点击右上⻆的查看配置代码

复制script这⼀条代码

4.打开⼀个pikachu平台 

xss盲打并将我们刚才复制的script恶意代码输⼊进去

下载地址 https://github.com/zhuifengshaonianhanlu/pikachu

若网站无法访问,换下浏览器或者清除下dns缓存即可

5.模拟管理员登录后台的操作

登录完成后触发我们插⼊的恶意代码

6.查看劫持信息

此时回到平台上可看到其劫持的Cookie信息
点击查看 可以查看到其中的cookie字段


A 八方
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
【网络安全 --- XSS漏洞利用实战】你知道如何利用XSS漏洞进行cookie获取,钓鱼以及键盘监听吗?--- XSS实战
m0_67844671的博客
10-05 3898
你知道xss漏洞如何利用吗?本篇文章详细介绍了利用XSS漏洞如何实现cookie盗取,钓鱼获取用户名密码以及监听键盘记录等,让你对xss漏洞有进一步认识。
Web渗透-XSS漏洞深入及xss-labs靶场实战
Varin
06-24 1233
xss全称(cross site scripting)跨站脚本攻击,是最常见的web应用程序安全漏洞之一,位于owasptop102013年度第三名xss是指攻击者在网页中嵌入客户端脚本,通常是javascrip编写的危险代码,当用户使用浏览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的
xss漏洞实战--放射性xss漏洞总结
weixin_42109829的博客
12-12 1287
1. 查找反射型的xss型的漏洞。 放射性xss漏洞一般存在于搜索框哪里,,原理我就不讲了,直接实战啦 ** 1.1 用偏僻字符绕waf 我们在找xss漏洞的时候常常会遇到一些waf防护就比如 例: 100招商网 我们输入最常见的poalay <script>alert(123)</script> 出现D盾防护。 这时候就出现了 我们应该知道他u盾是防护了什么,什么...
xss-lab通关之路
黑白的博客
10-12 4445
xss-lab通关之路
xss-labs-master.rar
05-09
"xss-labs-master.rar" 提供了一个针对XSS漏洞的专项练习平台,旨在帮助初学者及安全爱好者提升对XSS攻击的理解和防御能力。这个靶机资源共分为二十个关卡,由浅入深,逐步引导用户掌握XSS攻防的核心技巧。 一、XSS...
xss-labs靶场,直接放到www目录下直接用,超方便
09-24
通过实战演练,用户可以提升对XSS漏洞的检测和防护能力。 **XSS攻击概述** XSS攻击是一种常见的Web应用安全问题,攻击者通过在网页上注入恶意脚本,使得用户在不知情的情况下执行这些脚本,从而获取敏感信息或控制...
xss-labs-master.zip(xss注入通关游戏/靶场)
03-21
**XSS注入详解** XSS(Cross Site Scripting),即跨站脚本攻击,是一种常见的Web...在解决每个挑战的过程中,参与者不仅可以掌握如何识别和利用XSS漏洞,还能学习如何有效地预防这类攻击,从而提高Web应用的安全性。
xss-platform-master.zip
04-21
3. 检测工具:可能包括自动化扫描工具,用于查找Web应用中的潜在XSS漏洞。 4. 演练环境:模拟真实的Web应用,让学习者实践防御策略。 5. 文档资料:详细解释XSS攻击原理、危害及防范措施。 通过对"xss-platform-...
hole-blog:OWASP十大脆弱博客
05-19
"hole-blog"是一个模拟OWASP十大脆弱性的博客项目,旨在提供一个实战环境,帮助学习者了解并学习如何检测和修复这些安全漏洞。 该项目基于Python语言,因此我们可以从中学习到Python在Web开发中的安全实践。以下是...
记一次因敏感信息泄露而导致的越权+存储型XSS
2301_80127209的博客
07-23 310
可能各位师傅会有苦于不知道如何寻找测试目标的烦恼,这里我惯用的就是寻找可进站的思路。这个思路分为两种,一是弱口令进站测试,二是可注册进站测试。依照这个思路,我依旧是用鹰图进行了一波资产的搜集。
CSRF+XSS组合攻击实战
记录学习
07-19 1340
xss和csrf组合攻击漏洞复现
DVWA靶场超(详细教程)--跨站攻击(XSS+CSRF)
weixin_60838266的博客
07-19 1126
webanquan”去掉了(替换为空),我们的输入从alert变成了alert()
粉尘传感器助力面粉厂安全生产
iotsensor的博客
07-19 655
OPC-R2有16个大小的垃圾箱,可以每秒记录PM1、PM2.5和PM10以及大小直方图,这在应用程序需要的不仅仅是PM时至关重要。OPC-R2取代了OPC-R1,带来了比其前身更好的小颗粒检测、更低的风扇噪声和更好的EMC保护。因此,如何有效监测和控制面粉厂的粉尘浓度,成为了保障安全生产的关键。这种传感器能够实时、准确地监测空气中的粉尘浓度,并将数据反馈给控制系统,从而实现对粉尘浓度的有效控制。通过实时监测和控制粉尘浓度,可以有效保障工作人员的健康、设备的安全运行以及环境的保护。
【ROS2】高级:安全-部署指南
cxyhjl的博客
07-21 711
目标:了解将安全工件部署到生产系统时的最佳实践。教程级别:高级时间:20 分钟内容背景先决条件一般准则构建部署场景生成 Docker 镜像理解 compose 文件运行示例检查容器背景典型的部署场景通常涉及将容器化的应用程序或软件包发送到远程系统。在部署启用安全性的应用程序时应特别注意,要求用户考虑打包文件的敏感性。遵循 DDS 安全标准 https://www.omg.org/s...
内网安全:IPC横向
最新发布
8888的博客
07-23 522
IPC是为了实现进程之间的通信而开放的管道。IPC可以通过验证用户名和密码来获取相应的权限。通过IPC可以与目标机器建立连接。
ForCloud全栈安全体验,一站式云安全托管试用 开启全能高效攻防
亚信安全官方账号的博客
07-19 544
一站式云安全托管限时试用 开启全能高效攻防
Vue的安全性:防范XSS攻击与安全最佳实践
哎 你看的博客
07-19 682
随着Web应用的普及,前端安全问题日益受到重视。Vue作为当下流行的前端框架,其安全性也成为开发者关注的焦点。跨站脚本攻击(XSS)是常见的Web安全漏洞之一,本文将讨论如何在使用Vue时防范XSS攻击,并分享其他Vue中的安全最佳实践。
邮件安全篇:邮件端到端加密S/MIME
sdexcel的专栏
07-19 1160
本文主要介绍电子邮件端到端加密S/MIME的工作原理及客户端支持现状。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值