xss平台获取管理员cookie 相关步骤

于 2024-07-23 17:50:23 发布
阅读量144 收藏
点赞数 1
文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57682301/article/details/140642261
版权

在以下网站注册账号并登录,点击创建项目并填写名称--立即提交

https://xssaq.com/

在我的项⽬中选择我们刚创建的项⽬点击右上角查看配置代码 进入复制script这一条

打开⼀个pikachu平台 xss盲打并将我们刚才复制的script恶意代码输⼊进去

模拟管理员登录后台的操作 登录完成后触发我们插⼊的恶意代码

此时回到平台上可看到其劫持的Cookie信息

点击查看 可以查看到其中的cookie字段

狂i
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web应用安全:XSS盗取cookiepayload.pptx
06-18
4. 管理员Cookie被成功获取,攻击者可以通过Postman等工具设置这个Cookie值,尝试模拟管理员身份登录网站。 **Cookie的后利用** 一旦攻击者获得了受害者的Cookie,他们可以利用这个Cookie进行各种恶意行为,如: ...
gnuboard xss漏洞1
08-03
</script>`,当管理员访问后台时,这段脚本将在其浏览器中执行,显示一个弹窗警告。这种攻击可能导致敏感信息泄露、用户会话劫持、cookie盗窃等严重后果。 为了防止这类XSS漏洞,开发者应该对所有用户输入的数据...
Cookie利用神器
03-29
同时,对于网站管理员来说,应采取措施防止Cookie被窃取,比如使用HTTPS加密通信、设置HttpOnly标志以阻止JavaScript访问Cookie、使用Secure标志确保Cookie只在安全连接下发送等。 总之,"Cookie利用神器"揭示了...
南方数据新闻发布管理系统-CSDN下载
03-14
1. **身份伪造**:攻击者可以插入包含非法权限的Cookie,模仿合法用户的身份,获取不应有的访问权限,比如管理员权限,从而对系统进行非法操作。 2. **会话劫持**:攻击者通过获取用户的Session ID(通常存储在...
记一次因敏感信息泄露而导致的越权+存储型XSS
2301_80127209的博客
07-23 310
可能各位师傅会有苦于不知道如何寻找测试目标的烦恼,这里我惯用的就是寻找可进站的思路。这个思路分为两种,一是弱口令进站测试,二是可注册进站测试。依照这个思路,我依旧是用鹰图进行了一波资产的搜集。
CSRF+XSS组合攻击实战
记录学习
07-19 1341
xss和csrf组合攻击漏洞复现
DVWA靶场超(详细教程)--跨站攻击(XSS+CSRF)
weixin_60838266的博客
07-19 1126
webanquan”去掉了(替换为空),我们的输入从alert变成了alert()
Vue使用FullCalendar实现日历/周历/月历
_小郑有点困了的博客
07-23 176
需求背景:项目上遇到新需求,要求实现工单以日/周/月历形式展示。而且要求不同工单根据状态显示不同颜色,一个工单内部,需要以不同颜色显示三个阶段。
谷粒商城实战笔记-39-前端基础-Vue-指令-v-on、v-for、v-if
epitomizelu的专栏
07-20 965
v-on 是 Vue.js 中的一个指令,用于在 DOM 元素上监听用户事件,并在事件触发时执行相应的 JavaScript 函数。它提供了一种将 Vue 实例中的方法与 DOM 事件关联起来的方式,使得你可以轻松地对用户交互做出响应。v-on 指令的基本语法是在元素上添加 v-on:event-name=“method”,其中 event-name 是你要监听的 DOM 事件类型(如 click、mouseover、keydown 等),method 则是 Vue 实例中定义的方法名。
VUE 子组件可以直接改变父组件的数据吗
Cshaosun的博客
07-23 104
如果子组件需要修改父组件的数据,‌应该通过触发一个自定义事件来通知父组件进行数据的变更。‌父组件在接收到子组件触发的事件后,‌可以修改数据,‌从而间接地改变父组件的数据。‌这种方式通过明确的事件通信机制,‌保证了数据流的单向性和组件之间的解耦。需要注意的是,‌虽然Vue提供了一些特殊的方法来实现子组件修改父组件数据,‌但这种方式打破了数据流的单向性,‌增加了组件之间的耦合性,‌因此应谨慎使用。在Vue中,‌如果确实需要在子组件中修改父组件的数据,‌可以通过以下步骤实现:‌。
Odoo Registry 源码解读:前端世界的魔法师
清水欧度 Odoo ERP
07-23 755
它是连接不同模块的桥梁,是实现灵活扩展的关键,是每个Odoo开发魔法师最强大的盟友。下次当你在编写Odoo模块时,请记住,你手中握着的不仅仅是键盘,而是Registry赋予你的魔法杖。想象一下,它就是Odoo世界里的预言球,所有的秘密都逃不过它的法眼。Registry会用它的魔法排序棒,确保每个生物都按照正确的顺序出场,场面蔚为壮观。Registry会把常用的魔法结果记在它的魔法笔记本里,下次再用时就不用重新计算了,节省了大量的魔法能量。Registry设置了强大的防御魔法,确保没有人能破坏它的魔法秩序。
【CTFWP】ctfshow-web42
LongL_GuYu的博客
07-23 623
CTFWP,ctfshow-web42
前端性能优化--懒加载
weixin_43799793的博客
07-19 197
3、同时还可结合 lazy loading 属性,利用浏览器的原生属性,进一步优化图片加载,不过其延迟加载机制完全是由浏览器自身决定的,在不同浏览器上效果不同(BTW,部分浏览器可能并不支持)。2、然后对元素进行监听,当图片进入可视区域时,提取元素的 data-src 即真实的图片地址赋值给 src 属性,就会去发送请求加载图片,实现了懒加载。设置为 1 张 1px*1px 的透明图片用作占位符,以防止出现出错图标。TinyPNG 网站: https://tinypng.com/
基于 Gunicorn、Flask 和 Docker 的 Web 应用开发
2401_85639015的博客
07-19 1537
Docker 是一个开源的应用容器引擎,它允许开发者打包他们的应用以及应用的运行环境到一个可移植的容器中。容器可以运行在任何支持 Docker 的机器上,确保了环境的一致性。通过本教程,你将学会如何使用 Docker、Gunicorn 和 Flask 构建一个高效、可扩展的 Web 应用。每个步骤都提供了详细的指导和示例代码,确保你能够理解和实践每个环节。希望本教程能够作为你进入微服务架构领域的起点。
[web]-反序列化-绕过__wakeup(转)
mails2008的专栏
07-18 433
终点:很直接是echo $flag,在__destruct中,username==='admin' 和 password==100。反序列化过程中发现起点在终点之前调用,反而是捣乱的,那我们就不需要自动执行__wakeup,绕过的方法,设置的字段数量比实际字段大的值。其实简单的很简单,难得也很难,慢慢学习就好,没必要焦虑,觉得很难,纯粹一个兴趣爱好就行。起点:_wakeup函数中是$this->username='guest',是给赋值;按照常规思路,寻找起点、终点、跳板。
Web Pages 表单
07-20 310
Web pages 表单是现代网页设计中不可或缺的组成部分,它们允许用户与网站进行交互,提交信息,如注册、登录、反馈、预订等。表单的设计和功能对用户体验和网站的业务目标有着直接的影响。本文将深入探讨Web pages表单的各个方面,包括设计原则、常用元素、验证机制和最佳实践。
vue如何解决跨域?
FENGZXCjjjjj的博客
07-21 478
在Vue.js项目中,当你的前端应用尝试从与自身不同源的服务器(协议、域名、端口中的任一不同)加载资源时,可能会遇到跨域(CORS, Cross-Origin Resource Sharing)问题。
Vue事件总线(EventBus)的概念、使用以及注意事项
最新发布
weixin_53216033的博客
07-23 486
在Vue开发中,组件间的通信是不可避免的需求。对于父子组件间的通信,Vue提供了props和$emit/$on等内置机制。然而,当需要在非父子关系的组件间进行通信时,这些内置机制就显得力不从心了。这时,Vue事件总线(EventBus)作为一种灵活的解决方案应运而生啦。本篇文章将详细讲解Vue事件总线的原理、安装、使用及最佳实践,帮助大家更好地去理解和应用这一技术。
前端小项目-强调鼠标悬停时效果的名片
关注收藏,可以私信解决问题!
07-19 1081
在学习完HTML和CSS之后,我们就可以开始做一些小项目了。本篇文章所讲的小项目为——动态效果名片。通过这个项目,你将学会如何使用HTML和CSS来创建一个具有动态效果的名片。
dedecms的xss漏洞冒充管理员
06-13
这可能会导致未经授权的用户获得管理员权限,例如修改配置、发布帖子等。 具体防范措施包括但不限于: 1. 对用户输入进行严格的输入验证和转义处理,防止脚本被执行。 2. 使用HTTPS加密传输,减少信息泄露的风险。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值