位置: 编程技术 - 正文

JS写XSS cookie stealer来窃取密码的步骤详解

编辑:rootadmin

推荐整理分享JS写XSS cookie stealer来窃取密码的步骤详解,希望有所帮助,仅作参考,欢迎阅读内容。

文章相关热门搜索词:,内容如对您有帮助,希望把文章链接给更多的朋友!

JavaScript是web中最常用的脚本开发语言,js可以自动执行站点组件,管理站点内容,在web业内实现其他有用的函数。JS可以有很多的函数可以用做恶意用途,包括窃取含有密码等内容的用户cookie。

Cookie是站点请求和保持特定访问页面的信息。Cookie含有访问的方式、时间、用户名密码等认证信息等。当用户访问给定站点时,必须使用cookie;如果攻击者可以拦截cookie,就可以利用cookie窃取用户的一些信息。对某个特定的域名,使用JS可以保存或修改用户的cookie。也就是说,如果攻击者可以利用JS查看、修改cookie,那么这可以变成一种有价值的黑客技术。

基于JS的攻击可以有效地与代码注入等技术相结合,这可能造成恶意代码在可信的网站上执行。

下面开始创建XSS cookie stealer

Step 1: 创建 HTML Test 页

首先,创建一个标准的HTML页

然后,编辑index.html

测试页面

Step 2: 创建Cookie

创建一个可以插入到cookie中的基本参数——字符串。这个cookie只能用于本页面中,同样的,之后的注入也应用于该页面保存的所有cookie。

该脚本要插入到HTML的<body>部分,如下:

如果运行该脚本的页面打开了,那么就会设定cookie,但是浏览器中不会显示任何东西。我们可以用document.write函数直接查看cookie。

同样功能的脚本如下:

在浏览器中打开页面,就会出现如下的cookie信息:

说明我们成功地为这个页面设置了"username=Null Byte" 的cookie。

Step 3: 用js脚本窃取Cookies

我们用来传递cookies到服务器的js字符串使用了document.cookie参数,但是我们用的是document.location中定义的url。

在本例中,PHP文件定位到localhost(.0.0.1)。

如果目标是社交媒体网站,脚本需要注入到该站点中,窃取的cookies要发送给黑客控制的IP或URL。

把js代码吓到<script>标签中:

HTML页面代码应该是下面这样:

剩下对cookie进行处理的部分需要PHP来处理。

Step 4: 用PHP处理Cookies

在上面的例子中,窃取cookie的PHP文件是cookiestealer.php,位于.0.0.1网址下。

在实际运行中,不能用cookiestealer.php这么明显的名字,而且应该位于外部IP或URL下。

首先,在index.html相同目录下创新PHP文件。

nano cookiestealer.php

JS写XSS cookie stealer来窃取密码的步骤详解

第一个元素需要定义的是重定向页面跳转。

为了不让用户意识到可能遭到攻击,最好重定向用户到相同域下的其他页面,这样用户就不会意识到。

重定向完成后,需要其他代码来处理cookie。

1. 分配cookie到一个变量;

2. 定义保存cookie的文件,这个文件保存的位置应该是我们控制的。

本例中,文件名为log.txt。

3. 把上面的两个参数的内容写入log文件,即将cookie写入log.txt。

代码如下:

然后,需要准备PHP文件的测试环境。

Step 5: 测试Cookie Stealer

在index.html 和 cookiestealer.php相同目录下,搭建一个测试用的PHP环境。

php -S .0.0.1:

页面测试成功。

打开页面之后,浏览器会马上重定向到预定义的网站,即Google。

查看PHP服务器的日志,我们注意到传递给php文件一个参数,而且php代码执行了。

最后,我们可以检查我们网站目录下的log.txt文件来查看cookies。

cat log.txt

Log文件中含有cookie的内容,说明我们成功的使用js代码窃取了cookies。

Step 6: 攻击

Cookies含有重要的用户信息,一般是明文的,有时甚至含有私钥信息。所以非常重要,使用js代码注入可以窃取用户的cookies信息。

该攻击可以注入到任何的HTML文件的<script>标签中。常用的检测XSS的方法是使用alert。

该脚本会尝试打开类似下面的alert信息。如果打开了,说明网站易受到xss攻击。

在现实的攻击中,黑客会特别注意PHP文件的位置。如果处理得不好,php文件会容易暴露黑客的位置。如果这种攻击出现了,那么根据cookie被发送和保存的位置,可以追踪黑客。

上面的方法说明了JS作为攻击工具的强大性。JS可以让web更方便 ,如果某个网站易受到恶意JS注入,这会给用户和网站带来巨大的安全威胁。预防XSS攻击的重担落在了web开发者的身上。如果用户认为运行在网站上的脚本是不可信的,也可以使用NoScript来阻止js代码的运行。

总结

以上所述是小编给大家介绍的JS写XSS cookie stealer来窃取密码的步骤详解,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对积木网网站的支持!

three.js中文文档学习之通过模块导入 前言本文主要给大家介绍了关于three.js通过模块导入的相关内容,通过script标签导入three.js是很好的入门并快速运行的方式,对于长期更新的项目有些不

详细分析jsonp的原理和实现方式 针对跨域问题,本文主要给大家详细分析一下jsonp的原理,希望能够给你提供到帮助。详细分析jsonp的原理和实现方式一:跨域问题。二,跨域产生的原

详解webpack + react + react-router 如何实现懒加载 在Webpack1中主要是由bundle-loader进行懒加载,而Webpack2中引入了类似于SystemJS的System.import语法,首先我们对于System.import的执行流程进行简单阐述:Webpack会

标签: JS写XSS cookie stealer来窃取密码的步骤详解

本文链接地址:https://www.jiuchutong.com/biancheng/369835.html 转载请保留说明!

上一篇:three.js中文文档学习之创建场景(three.js 文档)

下一篇:three.js中文文档学习之通过模块导入(three.js官方文档)

  • 土地使用税怎么征收标准
  • 财务软件怎么样才能用
  • 债务承担规定是什么意思
  • 发票复核人一定要是财务吗
  • 软件无形资产摊销年限是多久
  • 预计所有者权益怎么计算
  • 房产出租增值税税目
  • 企业报废固定资产的净损失应确认为企业的费用
  • 计税依据的三种类型
  • 利润分配从哪里取数
  • 官司赔偿费用需要发票吗
  • 加工企业如何降成本
  • 普票每季度开多少免税
  • 个税起征点是多少啊
  • 社保显示已录入什么意思
  • 公司注销留抵税金能退税吗
  • 外币投入资本不产生汇兑损益
  • 接受个人投资现金怎么做账务处理?
  • 公司的投资额和实际不符
  • 设备修理费
  • 带息商业汇票的利息分录?
  • 资产负债表总计数表示什么意思
  • linux hdparm
  • windows 11预览版
  • 土地使用税的税目写什么
  • 往来款能转为投资款的说明
  • php23种设计模式
  • 采用销售额比率法预测对外筹资需要量时
  • 个税非居民是什么意思
  • 提示内存不足
  • 高速公路电子发票抵扣进项税
  • php备份mysql数据库
  • ICLR‘23 UnderReview | LightGCL: 简单而有效的图对比学习推荐系统
  • 中央空调的维护和保养
  • 利润表三步法
  • 企业和银行对账多久对一次
  • 营改增后还有企业所得税吗?
  • scrapy csdn
  • mongodb reference
  • 专票作废扣税吗
  • 附加税减免额怎么算
  • 转入固定资产清理会计科目
  • 核定征收的情况包括
  • 个人扣税是怎么扣的
  • 暂估原材料,材料成本如何冲
  • 营业收入的核算方式有哪些
  • 软件开发并销售产品
  • 收到银行手续费发票怎么入账
  • 结转完工入库产品成本的会计分录
  • 单位食堂收费制度
  • 差旅费包括哪些费用
  • 一般纳税人提供劳务税率是多少
  • 资产负债率多少属正常范围
  • 建账的要点及应注意的问题
  • 专用发票账目不对怎么办
  • mysql分页实现
  • windows 10的安装
  • macbookpro 安装
  • vc运行程序exe停止工作
  • xp操作系统入门
  • 虚拟机linux使用
  • linux的命令行界面
  • Windows10系统下iis没有注册.netFrameWork4.0的原因
  • cocos2dx游戏开发
  • 安卓开发解析xml
  • python ssh 远程执行命令
  • 改变图片透明度怎么调
  • 安卓录制音频
  • 用批处理结束进程
  • android开发教程视频
  • shell脚本 -ne 0
  • 谷歌chrome浏览器网页版网址
  • 江苏国家电子税务局网站
  • 督查局工作怎么样
  • 涉嫌虚开增值税专用发票罪
  • 个体户需要报个税的综合所得吗
  • 股权转让所得怎么计算个税
  • 非居民企业所得税税率
  • 三代手续费退还银行网点变更怎么办
  • 税控盘口令密码怎么修改
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设