Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

利用XSS漏洞轻松拿到登录用户的cookie

0
0
前言

最近在逛小程序,其中发现一个小程序是申请用户信息后自动在某站注册账号。

于是便去网站看了下,WOW!好多输入框~就顺手试了下xss。


利用XSS漏洞轻松拿到登录用户的cookie
找到XSS漏洞

本着学习交流的目的,用颤巍巍的手指在用户名称的输入框里输下了如下代码:

<script>alert(1)</script>
利用XSS漏洞轻松拿到登录用户的cookie

emm...没反应,内心一阵失落,并没有预期中那样弹出个框来,叹了口气。

但是,好歹是个程序猿,不能轻言放弃。

便找了一些xss变异代码进行测试:

</textarea><img onerror="alert(1)" src='1'>
利用XSS漏洞轻松拿到登录用户的cookie

WOW!棒呆呆!

进一步利用XSS漏洞

当时我在想,他的小程序是有充值功能的。

管理员或者财务肯定会没事儿看一下今天有没有消费呀~有哪些新用户充值了呀~

那不如~

刷两笔充值的单子,然后在用户名称植入中植入xss,姜太公钓鱼愿者上钩。

便从搜索引擎找了几家带https的xss平台,勾选个能获取cookie的模块:


利用XSS漏洞轻松拿到登录用户的cookie
Two(第) years(二) later(天)...
利用XSS漏洞轻松拿到登录用户的cookie
鱼儿上钩~成功拿到用户名和cookie,那么挂代理,开发者工具,Application,修改Cookies,刷新页面。 真的幸运
利用XSS漏洞轻松拿到登录用户的cookie

头一次利用xss干一些事情,很舒服。

可惜的是后台和用户中心是共用的,并没有找到上传文件等再利用的地方。


利用XSS漏洞轻松拿到登录用户的cookie

只能充个小钱啥的~

漏洞提交

已反馈给相关管理员进行修复。

结束语

做开发的,安全防范意识一定要有啊!


利用XSS漏洞轻松拿到登录用户的cookie

使用支付宝、微信、QQ客户端扫码打赏

打 赏 作 者

本文由SangSir 创作,采用 知识共享署名4.0 国际许可协议进行许可

本站文章除注明转载/出处外,均为本站原创或翻译,转载前请务必署名


Viewing all articles
Browse latest Browse all 12749

Latest Images

Trending Articles



Latest Images