内容简介:已反馈给相关管理员进行修复。做开发的,安全防范意识一定要有啊!
前言
最近在逛小程序,其中发现一个小程序是申请用户信息后自动在某站注册账号。
于是便去网站看了下,WOW!好多输入框~就顺手试了下xss。
找到XSS漏洞
本着学习交流的目的,用颤巍巍的手指在用户名称的输入框里输下了如下代码:
<script>alert(1)</script>
emm...没反应,内心一阵失落,并没有预期中那样弹出个框来,叹了口气。
但是,好歹是个程序猿,不能轻言放弃。
便找了一些xss变异代码进行测试:
</textarea><img onerror="alert(1)" src='1'>
WOW!棒呆呆!
进一步利用XSS漏洞
当时我在想,他的小程序是有充值功能的。
管理员或者财务肯定会没事儿看一下今天有没有消费呀~有哪些新用户充值了呀~
那不如~
刷两笔充值的单子,然后在用户名称植入中植入xss,姜太公钓鱼愿者上钩。
便从搜索引擎找了几家带https的xss平台,勾选个能获取cookie的模块:
Two(第) years(二) later(天)...
鱼儿上钩~成功拿到用户名和cookie,那么挂代理,开发者工具,Application,修改Cookies,刷新页面。
真的幸运
头一次利用xss干一些事情,很舒服。
可惜的是后台和用户中心是共用的,并没有找到上传文件等再利用的地方。
只能充个小钱啥的~
漏洞提交
已反馈给相关管理员进行修复。
结束语
做开发的,安全防范意识一定要有啊!
以上所述就是小编给大家介绍的《利用XSS漏洞轻松拿到登录用户的cookie》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
- 拿到一个 Demo 该怎么下手?
- 拿到一个 Demo 该怎么下手?
- 如何备战蓝桥杯拿到省一
- Sqlmap初体验,渗透拿到网站用户名密码
- 春招:我居然三天就拿到了offer?
- controller如何拿到自定义view的点击事件?
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
