【渗透练习系列】DVWA靶机实战,通过XSS盗取cookie登录-02

Zad 好物分享

一、发现XSS漏洞
1.1 登录DVWA,找到XSS(DOM)模块,测试XSS是否存在。 1.2 在选项的传参后面加入一串js代码,也就是可以XSS弹出的代码。payload如下:

发现可以弹窗,证明此处存在XSS。
二、盗取cookie
2.1 在XSS平台上搭建一个测试项目。这里用的是免费的XSS平台: https://xssaq.com/xss.php
选择【我的项目】->【创建】,创建一个测试项目: 2.2 配置代码选择默认配置即可。或者选择keepsession(保存会话),即实时更新cookie,保持cookie的时效性,否则没有及时查看,cookie很可能过期失效了。 2.3 项目创建成功,可根据该项目的使用指导,将给出的js代码插入到存在XSS漏洞的地方。这样当后面有管理员用户或其他用户登录后访问到该页面,就会将该用户

【渗透练习系列】DVWA靶机实战,通过XSS盗取cookie登录-02最先出现在Python成神之路

版权声明:
作者:Zad
链接:https://www.techfm.club/p/25130.html
来源:TechFM
文章版权归作者所有,未经允许请勿转载。

THE END
分享
二维码
< <上一篇
下一篇>>