利用XSS漏洞轻松拿到登录用户的cookie

最新推荐文章于 2024-07-10 17:05:37 发布
最新推荐文章于 2024-07-10 17:05:37 发布
阅读量2.6k 收藏 4
点赞数 2
文章标签: javascript ViewUI
原文链接:https://juejin.im/post/5cf88fdd518825251b3c8268
版权

前言

最近在逛小程序,其中发现一个小程序是申请用户信息后自动在某站注册账号。 于是便去网站看了下,WOW!好多输入框~就顺手试了下xss。

找到XSS漏洞

本着学习交流的目的,用颤巍巍的手指在用户名称的输入框里输下了如下代码: <script>alert(1)</script>

emm...没反应,内心一阵失落,并没有预期中那样弹出个框来,叹了口气。 但是,好歹是个程序猿,不能轻言放弃。 便找了一些xss变异代码进行测试: </textarea><img onerror="alert(1)" src='1'>
WOW!棒呆呆!

进一步利用XSS漏洞

当时我在想,他的小程序是有充值功能的。 管理员或者财务肯定会没事儿看一下今天有没有消费呀~有哪些新用户充值了呀~ 那不如~ 刷两笔充值的单子,然后在用户名称中植入xss,姜太公钓鱼愿者上钩。 便从搜索引擎找了几家带https的xss平台,勾选个能获取cookie的模块:

Two(第) years(二) later(天)...

鱼儿上钩~成功拿到用户名和cookie,那么挂代理,开发者工具,Application,修改Cookies,刷新页面。

真的幸运

头一次利用xss干一些事情,很舒服。 可惜的是后台和用户中心是共用的,并没有找到上传文件等再利用的地方。
只能充个小钱啥的~

漏洞提交

已反馈给相关管理员进行修复。

结束语

做开发的,安全防范意识一定要有啊!

weixin_34277853
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xss获取cookie的方法
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
12-27 1850
xss获取cookie简单步骤如下: 1、在存在漏洞的论坛中发日志。 2、然后以管理远登陆,进入后页面会跳转,此时cookie就发送到你的服务器下的code.txt文件中了。 3、这是没有账户前的登陆界面。 4、打开firefox的Tamper Data插件,点击Start Tamper开始抓取信息,刷新登陆界面,然后会跳出对话框,点击Tamper按钮,在途中的cookie一栏中替换掉你抓取到的cookie,单击确定发送请求数据,xss获取cookie 5、替换cookie后不用输用户名密码
ctf xss利用_利用存储型XSS跨站漏洞偷取用户Cookie实战
weixin_42611310的博客
02-23 1615
声明 :严禁读者利用以下介绍知识点对网站进行非法操作 , 本文仅用于技术交流和学习 , 如果您利用文章中介绍的知识对他人造成损失 , 后果由您自行承担 , 如果您不能同意该约定 , 请您务必不要阅读该文章 , 感谢您的配合 !攻击者要偷取Cookie , 就要让他们精心构造的恶意代码在受害者的计算机上运行 , 一般来说 , 是在用户访问一个网页的时候执行一段JavaScript代码 , 这段代码会...
XSS漏洞利用——获取cookie
cxrpty的博客
02-20 1755
实验环境:DVWA 实验步骤: 一、在服务器创建一个1.php文件获取cookie值,并将cookie值写入1.txt中 php代码如下: <?php $file=fopen("1.txt","a"); if($_GET['cookie']){ $cookie=$_GET['cookie']; fputs($file,"$cookie\r\n"); } ?> ...
漏洞复现篇——利用XSS漏洞获取cookie
爱国小白帽
02-20 3036
实验环境: PHPstudy 火狐浏览器、IE DVWA靶场
网络安全渗透测试零基础入门必知必会】之XSS攻击获取用户cookie用户密码(实战演示)零基础入门到精通收藏这一篇就够了
最新发布
HUANGXIN9898的博客
07-10 1276
渗透测试-地基篇:该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。请注意:本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。名言:你对这行的兴趣,决定你在这行的成就!
使用XSS漏洞获取用户cookie并免密登录实验
qq_43395215的博客
05-17 3304
使用XSS漏洞盗取cookie,并绕过密码登录 首先环境的搭建,使用DVWA平台的XSS漏洞,这个DVWA的XSS漏洞在前面都讲过,所以我们直接使用LOW等级获取cookie,并保存在Web服务器上,这里使用LOW等级是为了方便,其他等级都是一样的做法,只是构造的脚本不同 使用脚本获取cookie <script>alert(document.cookie)</script> 这是一个很简单的XSS漏洞,可以弹出用户cookie,但是现在我们不是要将cookie弹出,而是将其保存
XSS跨站脚本攻击之——XSS平台搭建与——Cookie获取
温柔小薛的博客
04-05 1077
XSS平台搭建及Cookie获取 准备工作 利用pikachuXSS后台 pikachu\pkxss\inc目录下的config.inc.php 修改mysql用户名密码 登录后台 pikachu\pkxss\xcookie目录解读 cookie.php 获取cookie的API页面并存到攻击者平台数据库中 获取完后才能重定向一个可信网站,起到迷惑用户隐藏攻击过程的作用 ...
利用XSS窃取用户Cookie
Monsterlz123的博客
07-20 7239
XSS利用XSS窃取用户Cookie Hello,各位小伙伴周六愉快。 晃眼之间一周又快要过去了,时间是不等人滴~~ 这周准备连发三篇XSS相关内容,两篇实战,一篇总结。 然后XSS漏洞部分就暂时完结啦~~ 今天我们来看看怎么利用XSS窃取用户cookie吧。 一、实验概述 实验拓扑: XSS的用途之一就是窃取用户cookie,攻击者利用XSS在网站中插入恶意脚本,一旦用户访问该网页...
23、渗透测试笔记_XSS漏洞利用(打cookie_键盘记录)_20191121
__Qian的博客
11-21 1366
1、利用XSScookie 打开http://xss.fbisb.com,注册账号登入 点击创建项目,点击下一步 选择默认模块,选择keepsession,点击下一步 将xss注入代码复制 打开dvwa靶机,登录后选择xss stored,将复制的xss注入代码复制到message中,点击sign guestbook 再次点击xss stored 查看...
XSS平台获取cookie
weixin_43387567的博客
04-02 4311
今天,我学习xss平台获取cookie的时候,由于各种毛病获取不到cookie。现在复现成功了,所以把过程写出来,记录一下过程,希望对入门的朋友有用。 首先我们得自己搭建环境,互联网是非常危险的。 我平时都是用docker搭建需要的坏境,非常简单。 yum install -y docker #安装docker service docker start #启动docker docker sea...
【记一次踩坑:pikachu靶场钓鱼无法获取cookie
weixin_38541179的博客
11-26 499
标红处少了单引号,然后完美获取到了,对照下图才发现的不清楚是我下载的靶场是不是有问题,还是太菜了,一下竟然没发现。折腾了好久。
XSS平台的简单搭建和获取cookie
m0_65096687的博客
10-09 2501
XSS平台可以辅助安全测试人员对XSS相关的漏洞危害进行深入学习,了解XSS的危害重视XSS的危害,如果要说XSS可以做哪些事情,XSS可以做js能够做的所有事情。包括但不限于:窃取Cookie、后台增删改文章、钓鱼、利用XSS漏洞进行传播、修改网页代码、网站重定向、获取用户信息(如浏览器信息,IP地址等)等。选择蓝莲花XSS平台的原因很简单,因为网络上大多数XSS平台都是需要注册啊,绑定什么的。2.把下载好的蓝莲花解压在PHPstudy的WWW目录下,这里为我更名为XSS。只需要修改登录密码进行提交。
XSS平台偷取cookie使用+XSS漏洞
NSQ0207的博客
07-24 2618
在线利用网站:复制代码输入复制的代码查看获取到的cookie二、xss触发方式(1)在标签外:(2)在标签内:使用事件型:(先用引号闭合,看看是否有过滤如果有使用大小写试验)在标签内不能使用标签,使用标签标签内资源类型是url使用伪协议。
【每天学习一点新知识】XSS如何绕过HttpOnly获取Cookie以及XSS与CORS漏洞利用
RexHa的博客
10-27 6038
Cors请求可分为两类,简单请求和非简单请求。所谓简单请求,就是请求方式为GET,POST,HEAD这三种之一,并且HTTP头不超出(Accept,Accept-Language,Content-Language,Lat-Event-ID,Content-Type)这几种字段。(Cross-origin resource sharing),是H5提供的一种机制,WEB应用程序可以通过在HTTP增加字段来告诉浏览器,哪些不同来源的服务器是有权访问本站资源的,当不同域的请求发生时,就出现了跨域的现象。
cookie信息无法获取问题研究
RAXCL的博客
09-18 1695
使用代理使用全量domain。
Xss获取cookie,绕过密码
CSMin01_21的博客
04-14 249
资源链接。
XSS学习笔记
Curry197的博客
02-22 503
目录 什么是xssxss的分类 有什么作用(危害)? 反射型XSS 存储型XSS DOM型XSS XSS平台的使用 xss-lab less-1 less-2 less-3 less-4 less-5 less-6 less-7 less-8 less-9 ​less-10 less-11 beef-xss 什么是xss? 跨站脚本攻击(cross-site-scripting,为避免和前端css重叠,所以用xss)是代码注入的一种 他允许恶意用...
XSS跨站脚本攻击
weixin_52620919的博客
12-18 835
这里写自定义目录标题XSS常用XSS反射型xss存储型xssDOM xss XSS 常用XSS 反射型xss 测试页面是否存在xss。 <script>alert('xss')</script> 如果页面存在XSS,那么就会弹出“XSS”这个字符。 弹出用户cookie ,其中document.cookie可以用来获取用户cookie。 弹出空白可能是因为该页面没有给我们设置cookie 接收用户cookie 如果只是弹出的话,只有访问该页面的人才能看到,而我们是看不到的。
XSS获取目标cookie,伪造身份获取目标权限
qq_57663276的博客
08-23 3189
未知攻,何来防。网络安全靶场学习:XSS(跨站脚本攻击),使用XSS伪造目标权限。
Uber XSS漏洞利用Cookie进行跨站脚本攻击
在本篇关于Uber XSS漏洞的详细分析文章中,作者分享了他们在2017年春节期间的一项安全发现。...通过这篇文章,开发者和安全专家可以学习到如何检查和修复类似的JSONP相关的XSS漏洞,以提高应用的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值