写点什么

每位互联网人才都应该明白怎么通过 XSS 获取 cookie

作者:喀拉峻
  • 2022 年 4 月 09 日
  • 本文字数:596 字

    阅读完需:约 2 分钟

前言

最近在逛小程序,其中发现一个小程序是申请用户信息后自动在某站注册账号。 于是便去网站看了下,WOW!好多输入框~就顺手试了下 xss。 


找到 XSS 漏洞

本着学习交流的目的,用颤巍巍的手指在用户名称的输入框里输下了如下代码: <script>alert(1)</script> 

 emm...没反应,内心一阵失落,并没有预期中那样弹出个框来,叹了口气。 但是,好歹是个程序猿,不能轻言放弃。 便找了一些 xss 变异代码进行测试: </textarea><img onerror="alert(1)" src='1'> 

 WOW!棒呆呆!

进一步利用 XSS 漏洞

当时我在想,他的小程序是有充值功能的。 管理员或者财务肯定会没事儿看一下今天有没有消费呀~有哪些新用户充值了呀~ 那不如~ 刷两笔充值的单子,然后在用户名称中植入 xss,姜太公钓鱼愿者上钩。 便从搜索引擎找了几家带 https 的 xss 平台,勾选个能获取 cookie 的模块: 


surprise! 500G 网络安全学习资料,👉戳此免费获取

Two(第) years(二) later(天)...


 鱼儿上钩~成功拿到用户名和 cookie,那么挂代理,开发者工具,Application,修改 Cookies,刷新页面。

真的幸运


 头一次利用 xss 干一些事情,很舒服。 可惜的是后台和用户中心是共用的,并没有找到上传文件等再利用的地方。 

 只能充个小钱啥的~

漏洞提交

已反馈给相关管理员进行修复。

结束语

学习这件事不在乎有没有人教你,最重要的是在于你自己有没有觉悟和恒心——法布尔

希望这篇博客对你有用。😃

(收藏帅三代,点赞富一生,评论幸福永相伴)

用户头像

喀拉峻

关注

左手Java右手Python,中间纹个C++ 2021.06.26 加入

还未添加个人简介

评论

发布
暂无评论
每位互联网人才都应该明白怎么通过XSS获取cookie_网络安全_喀拉峻_InfoQ写作平台