XSS漏洞---cookie+session介绍

于 2024-04-18 17:08:14 发布
阅读量367 收藏 5
点赞数 4
分类专栏: 网络安全攻击 文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhoutong2323/article/details/137919127
版权

文章目录

一.什么是cookie和session

Set-cookie:

  • setcookie是一种用于在客户端浏览器上设置HTTP cookie的方法
  • 通过设置cookie,服务器可以将数据存储在客户端浏览器中,以便在客户端请求相同网站时使用这些数据。
  • setcookie函数用于设置cookie的名称、值、过期时间、路径等参数。

Cookie:

  •  Cookie最开始设计出来是用于弥补HTTP协议是无状态协议的缺点,HTTP协议的这种特性最直观的现象是:当我们每次登录同一个网站时都需要输入账号密码进行登录;然而,cookie的出现解决了这一缺点。
  •  Cookie是在用户访问网站时,由网站服务器发送到用户浏览器并存储在用户计算机上的小文本文件。它用于在用户的浏览器中存储和识别用户的身份信息、偏好设置等。
  •  当用户再次访问同一个网站时,浏览器会将该网站发送的cookie带回服务器,以便服务器根据存储的信息来提供个性化的服务。Cookie可以用于跟踪用户的浏览行为、实现购物车功能、保持用户登录状态等。

Session:

  • Session是一种在HTTP协议无状态的基础上为了保持用户状态而引入的机制。
  • 当用户首次访问网站时,服务器会为其创建一个Session ID,并将该ID发送给客户端保存。
  • 客户端在接下来的请求中的Cookie字段会带上这个Session ID,服务器通过这个ID来识别用户,并在服务器端存储与该Session ID相关的数据

cookie是明文传输,因此可以在浏览器的控制面板查看cookie

 Cookie数据流转

  • 首次访问时服务器会将浏览器的账号密码等信息保存在本地
  • 服务器发送响应报文,该报文中携带set-cookie
  • 客户端再次访问该服务器时会在请求报文中携带cookie
  • 服务器收到请求报文后根据cookie中携带的信息,从而实现无密码登录

代码解析:

 

<?php
#调用session_start()生成session-ID
session_start();
if(isset($_POST['login']))
{
$username = trim($_POST['username']);
$postword = trim($_POST['password']);
if(($username=='')||($password==''))
{
header('refresh:3;url=login.html');
echo "用户名或密码不能为空,3秒后跳转登录页面"
eit;
}
else if (($username!='username')||($password!='password'))
{
header('refresh:3url=login.html');
echo "用户名或密码错误,3秒后跳转到登录页面"
exit;
}
#登录成功将信息保存到session中
else if(($username=='username')&&($password=='password'))
{
$_SESSION['username']=$username;
$_SESSION['islogin']=1;
if($_POST['remember']=="yes")
{
setcookie("username",$username,time()+7*24*60*60);
setcookie("code",md5($username.md5($password)),time()+7*24*60*60);
}
}
}
>

 利用cooki免登录代码

<?php
session_start();
if(isset($_SESSION['username']))
{
echo $_SESSION['username']."你好,欢迎进入个人中心!<br/>";
echo "<a href='logout.php'>注销</a>";
}
else
{
echo "你还未登录,请<a href='login.html'>登录</a>;"
}
?>

总结

北 染 星 辰
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
xss漏洞之cookie和session详解
2301_80361487的博客
01-23 457
当我们使用自己的电脑,通过浏览器进行访问网页的时候,服务器就会生成一个证书然后返回给浏览器并写入我们的本地电脑,这个证书就是cookie。了时效,也就是 Expire 字段,而且会存储于本地,当 Expire所制定的时效过期后,Cookie 将失效。访问同域下的页面时,无论是 Session Cookie 还是本地 Cookie,Cookie 将会一起被发送。而 Session Cookie 则没有制定 Expire 时效,是存储在浏览器内存中的,当浏览器关闭后,它可以帮助我们实现记录用户个人信息的功能。
xss Cookie
10-09
xss利用工具 Cookie
XSS攻击(1), 测试XSS漏洞, 获取cookie
探测???
10-18 1374
XSS(Cross-Site Scripting), 跨站攻击脚本, XSS漏洞发生在前端, 依赖于浏览器的解析引擎, 让前端执行攻击代码. XSS其实也算注入类的攻击, XSS代码注入需要有JavaScript编程基础.XSS的原理就是开发者没有对输入内容进行过滤, 导致通过攻击者精心构造的前端代码, 输入后和原来的前端代码产生混淆, 形成新的页面语句, 并且新的页面代码能够被浏览器解析并输出.:如果受害者具有某些特权,例如网站管理员,攻击者可能会利用XSS漏洞,使用受害者的权限对网站进行未授权的修改。
利用XSS漏洞打cookie
qq_68163788的博客
01-15 1555
XSS漏洞是一种跨站脚本攻击,攻击者可以在受害者的浏览器中注入恶意脚本,从而获取用户的敏感信息,如cookie。 当受害者访问包含恶意脚本的页面时,恶意脚本会获取受害者的cookie信息,并将其发送到攻击者的服务器。攻击者可以利用这些cookie信息来冒充受害者进行各种操作,比如登录受害者的账户。为了防止XSS漏洞,网站开发者应该对用户输入进行严格的过滤和验证,避免将未经验证的用户输入直接输出到页面上。另外,网站可以使用XSS防护工具或者采用安全的编程实践来防止XSS漏洞的发生。
XSS攻击——cookie
qq_46277212的博客
06-23 1872
cookie概述 cookie是一些数据,存储于用户电脑上的文本文件中。当web服务器向浏览器发送web页面时,在连接关闭后,服务器不会记录用户的信息。cookie的作用就是用于解决“如何记录客户端的用户信息”。 当用户访问web页面时,用户名可以记录在cookie中。 在用户下一次访问该页面时,可以在cookie中读取用户访问记录。 cookie以键值对形式存储。如 username=baixiaomao; 当浏览器从服务器上请求web页面时,属于该页面的cookie会被添加到该请求中。服务器端通过
简单的利用XSS获取用户cookie
shy的博客
10-25 4252
跨站脚本攻击(XSS) 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 这里简单的演示下,将cookie获取到自己的搭...
【网络安全】XSS之Cookie外带攻击姿势及例题详析
等风来
05-19 6925
XSS 的 Cookie 外带攻击就是一种针对 Web 应用程序中的 XSS(跨站脚本攻击)漏洞进行的攻击,攻击者通过在 XSS 攻击中注入恶意脚本,从而窃取用户的 Cookie 信息。攻击者通常会利用已经存在的 XSS 漏洞,在受害者的浏览器上注入恶意代码,并将受害者的 Cookie 数据上传到攻击者控制的服务器上,然后攻击者就可以使用该 Cookie 来冒充受害者,执行一些恶意操作,例如盗取用户的账户信息、发起钓鱼攻击等。
【网络安全 --- XSS漏洞利用实战】你知道如何利用XSS漏洞进行cookie获取,钓鱼以及键盘监听吗?--- XSS实战篇
m0_67844671的博客
10-05 3140
你知道xss漏洞如何利用吗?本篇文章详细介绍了利用XSS漏洞如何实现cookie盗取,钓鱼获取用户名密码以及监听键盘记录等,让你对xss漏洞有进一步认识。
XSS获取目标cookie,伪造身份获取目标权限
qq_57663276的博客
08-23 3091
未知攻,何来防。网络安全靶场学习:XSS(跨站脚本攻击),使用XSS伪造目标权限。
XSS的键盘记录和cookie获取
Williamanddog的博客
01-26 1496
跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混 淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意JavaScript代码,当用户浏览该页 面时,嵌入Web里面的JS代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的 攻击。 在一个Web页面上,有一种很常见的功能是将用户输入的内容输出到页面上。但是如果这里输入的内容 。
网络安全学习笔记——盗取Cookies跨站脚本(XSS
just do it
07-24 1133
使用替换过了的URL发给目标,诱导目标点击,然后目标的cookies就会回弹到XSS攻击平台上,展开就可以看到该目标的PHPSESSID,然后在自己的同源网站上,笔记本按Fn+F12,调出Hackerbar,点击存储,然后把PHPSESSID换成攻击之后得到的,删掉浏览框里面多余的东西,剩下XXX.php即可,刷新之后就会登录该目标的账号——,SESSID——中间键,是Apache分配的,唯一的“身份证”,从SESSID入手,就可以查取用户的相关信息。
PHP开发漏洞环境(SQL注入+文件上传+文件下载+XSS+万能密码+session/cookie+购物逻辑漏洞的学习等等)
最新发布
05-08
PHP开发漏洞环境(SQL注入+文件上传+文件下载+XSS+万能密码+session/cookie+购物逻辑漏洞的学习等等)
PHP开发漏洞环境(SQL注入+文件上传+文件下载+XSS+万能密码+session/cookie的学习等等)
05-06
PHP开发漏洞环境(SQL注入+文件上传+文件下载+XSS+万能密码+session/cookie的学习等等)持续更新中,相关文章请关注我的博客,《从开发角度理解漏洞成因》。
第26天:WEB漏洞-XSS跨站之订单及Shell箱子反杀记1
08-03
WEB 漏洞-XSS 跨站之订单及 Shell 箱子反杀#XSS 平台及工具使用#XSS 经典应用案例测试#Session 与 Cookie 获取问题docum
Session Cookie的HttpOnly和secure属性
10-29
如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程中被监听捕获后信息泄漏,...
XSS及SQL注入PPT
05-17
网安培训的PPT 适合安全人员学习 可恶的20个字符限制。
cookie存储 XSS跨站脚本攻击 localStorage sessionStorage
蒲公英芽的博客
02-12 2776
什么是cookie cookie实际上就是一些信息,这些信息以文件的形式存储在客户端计算机上。当用户访问了某个网站,可以通过cookie向访问者电脑上存储数据。 cookie的主要作用是在浏览器中进行数据的存储,并与服务器互动。 比如:密码 cookie,访当问者首次登陆网站时,需要填写密码。密码可被存储于 cookie 中。当他们再次访问网站时,就会从 cookie 中取回密码。 cookie可...
XSS基础入门/从0到1/非常基础/cookie/会话劫持
ChenD的学习笔记
10-10 1448
cookie介绍XSS类型、XSS盗取cookie、利用Cookie劫持会话
Springboot框架 Xss漏洞修复
04-01
Springboot框架 Xss漏洞修复可以参考以下步骤: 1. 使用thymeleaf等模板引擎来渲染页面,这样可以避免直接将用户输入的数据渲染到页面中。使用模板引擎时,需要注意使用th:text、th:utext等属性来输出文本,而不是直接使用${}。 2. 对所有用户输入的数据进行过滤和转义,可以使用ESAPI等安全框架来过滤和转义用户输入的数据。对于特殊字符和HTML标签,可以使用htmlEncode方法来进行转义。 3. 对于富文本编辑器等需要允许用户输入HTML标签的场景,可以使用jsoup等HTML过滤库来对用户输入的HTML进行过滤。可以使用Whitelist来定义白名单,只允许保留部分HTML标签和属性。 4. 对于URL参数,需要使用URLEncoder.encode方法进行编码,避免Xss攻击。 5. 对于Cookie和Session中存储的数据,也需要进行过滤和转义,避免Xss攻击。 6. 在前端页面中,可以使用jQuery等库来对用户输入的数据进行过滤和转义。可以使用$.html()和$.text()方法来输出HTML和文本,而不是直接使用$()。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

北 染 星 辰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值