数码控科技猎奇Iphone动漫星座游戏电竞lolcosplay王者荣耀攻略allcnewsBLOGNEWSBLOGASKBLOGBLOGZSK全部技术问答问答技术问答it问答代码软件新闻开发博客电脑/网络手机/数码笔记本电脑互联网操作系统软件硬件编程开发360产品资源分享电脑知识文档中心IT全部全部分类 全部分类技术牛文全部分类教程最新 网页制作cms教程平面设计媒体动画操作系统网站运营网络安全服务器教程数据库工具网络安全软件教学vbscript正则表达式javascript批处理更多»编程更新教程更新游戏更新allitnewsJava 新闻网络医疗信息化安全创业站长电商科技访谈域名会议专栏创业动态融资创投创业学院 / 产品经理创业公司人物访谈营销 开发数据库服务器系统虚拟化云计算 嵌入式移动开发作业作业1常见软件all电脑网络手机数码生活游戏体育运动明星影音休闲爱好文化艺术社会民生教育科学医疗健康金融管理情感社交地区其他电脑互联网软件硬件编程开发360相关产品手机平板其他电子产品摄影器材360硬件通讯智能设备购物时尚生活常识美容塑身服装服饰出行旅游交通汽车购房置业家居装修美食烹饪单机电脑游戏网页游戏电视游戏桌游棋牌游戏手机游戏小游戏掌机游戏客户端游戏集体游戏其他游戏体育赛事篮球足球其他运动球类运动赛车健身运动运动用品影视娱乐人物音乐动漫摄影摄像收藏宠物幽默搞笑起名花鸟鱼虫茶艺彩票星座占卜书画美术舞蹈小说图书器乐声乐小品相声戏剧戏曲手工艺品历史话题时事政治就业职场军事国防节日风俗法律法规宗教礼仪礼节自然灾害360维权社会人物升学入学人文社科外语资格考试公务员留学出国家庭教育学习方法语文物理生物工程学农业数学化学健康知识心理健康孕育早教内科外科妇产科儿科皮肤科五官科男科整形中医药品传染科其他疾病医院两性肿瘤科创业投资企业管理财务税务银行股票金融理财基金债券保险贸易商务文书国民经济爱情婚姻家庭烦恼北京上海重庆天津黑龙江吉林辽宁河北内蒙古山西陕西宁夏甘肃青海新疆西藏四川贵州云南河南湖北湖南山东江苏浙江安徽江西福建广东广西海南香港澳门台湾海外地区

[深入学习Web安全] 深入利用XSS漏洞

日期:2016/9/28 14:41:00 来源:本网整理
s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文 s">

[深入学习Web安全] 深入利用XSS漏洞

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-12 11:25:14 我要评论

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS ">

前言

从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。

浅析XSS利用技术

XSS能干什么?

在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:

· 篡改页面,修改页面内容

· 网络钓鱼

· 盗取用户Cookie

· 劫持用户(浏览器)会话

· 挂广告,刷流量

· DDoS

· 网页挂马

· 获取客户端信息(例如UA,IP,开放端口)

· 传播XSS Worm

   ……

这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。

Cookie是什么?

我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。

但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。

那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?

正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。

我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。

我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:

1.访问“chrome://settings/”:

2.最底下有个"显示高级设置...",点一下:

 3.有个“隐私设置”:

4.标题下面有个“内容设置”按钮,我们点一下:

 

5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:

 

Cookie呢,是以Key=Value的形式存在的,就和下图一样:

 

我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。

PHP如何设置Cookie

我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:

 

然后用浏览器访问这个页面:

 

然后在页面中右键-审查元素:

 

在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:

 

点击一下那个请求:

 

可以看到横栏里有个Cookies,点一下:

 

我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。 上一页12 下一页 阅读全文

  • 本文相关:
  • 揭秘2016年网络安全的5个误区
  • 网站被黑注入博彩色情页面应该怎么办
  • 你的手机有没有ROOT? ROOT后的手机漏洞防不胜防
  • JavaScript邮件附件可能携带恶意代码
  • 揭晓最差密码排行榜 教你设置安全密码的小技巧
  • 制作一个百毒不侵的系统 无需安装杀毒软件
  • 禁用Cookie功能的方法
  • 手机木马盗取网银过程大揭秘 验证码短信尤为关键
  • 使用Cryptsetup加密U盘小技巧
  • 捆绑IP地址和MAC地址 避免IP盗用情况的发生 
  • 免责声明 - 关于我们 - 联系我们 - 广告联系 - 友情链接 - 帮助中心 - 频道导航
    Copyright © 2017 www.zgxue.com All Rights Reserved