实验25:cookie获取和钓鱼攻击演示

XSS漏洞测试:
实验25:cookie获取和钓鱼攻击演示_第1张图片
案例1:xss如何获取cookie
我们先来看一下流程图,上次我们只是利用xss来弹了个窗,这次我们会演示如何获取用户的cookies.因为我们要演示的是一个get型xss,所以他所有的参数实在url里面的,所以攻击者就会把带有恶意JS的url发给用户,用户如果点击了,显然就会被攻击,获取到的数据需要有一个接口,需要一个后台。
实验25:cookie获取和钓鱼攻击演示_第2张图片
在pikachu上可以提前部署好环境再安装好pkxss后台就可以建立这样的接口。
实验25:cookie获取和钓鱼攻击演示_第3张图片
实验25:cookie获取和钓鱼攻击演示_第4张图片
安装完后是这样的
实验25:cookie获取和钓鱼攻击演示_第5张图片
实验25:cookie获取和钓鱼攻击演示_第6张图片
我们点击cookie收集
实验25:cookie获取和钓鱼攻击演示_第7张图片
这个方法的原理很简单,利用php语言直接获取就可以了
实验25:cookie获取和钓鱼攻击演示_第8张图片
但我们发的url需要进行一些处理,使他达到用户无法察觉的目的,我们最后需要将它重定向首页就可以了
实验25:cookie获取和钓鱼攻击演示_第9张图片
最后我们再演示一下
这里有个字符限制别忘了
实验25:cookie获取和钓鱼攻击演示_第10张图片
我们将这一段payload放进去,这段代码会带我们跳回首页并且把cookie带回去
在这里插入图片描述
我们会发现跳回了页面,并且cookie也被截取到了
实验25:cookie获取和钓鱼攻击演示_第11张图片
所以在实际中我们就可以将这样的一段url发给你想攻击的用户,欺骗用户去点击,用户点击后,他的cookies就能被你获取了
在这里插入图片描述

你可能感兴趣的:(作业)