XSS获取Cookie过程简单演示

XSS:

跨站脚本攻击(Cross Site Scripting)，为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。

本次演示将通过DVWA平台进行

实例:

打开DVWA的XSS测试模块

提交测试能否弹窗

没问题 用alert(document.cookie)弹出用户的cookie

好的获取到Cookie了文章结束 -:)
/手动滑稽 那么我们怎么才能将获取到的cookie传到自己服务器上来呢

这儿我们要写一段php代码来获取对应的cookie及ip并生成一个cookie.txt的文件来保存得到的cookie

我们将php文件放到服务器的web目录下
然后访问一下localhost/getcookie.php?cookie=111测试一下php代码

可以看到确实有了访问记录

构造XSS语句将网页插入到里面

此处DVWA对Message框做了长度要求 通过HTML改大即可

切换一台虚拟机登录这个页面后该用户的cookie就会自动保存到我的cookie.txt下面

接下来就可以直接用他的cookie进行登录了~