使用存储的XSS窃取用户cookie

文章/答案/技术大牛

发布

1回答

javascript、cookies、xss

我是计算机领域的新手，目前我正在对其中一个易受攻击的网站进行CTF挑战，并发现了一个XSS漏洞。我知道我可以使用存储的XSS来窃取用户的cookie，但是我不知道为什么我的代码不工作，因为为什么当另一个用户进入易受攻击的页面时，他们的cookie不会被记录在我的端上。cookie</e

浏览 15提问于2019-03-05得票数 0

2回答

HTTP标志为true的XSS

penetration-test、xss、http

由于只使用HTTP标志来减轻跨站点脚本的影响，所以我们不能在web应用程序上执行XSS？如果可以的话，在HTTPOnly旗帜为真的情况下，有哪些最好的实时示例？

浏览 0提问于2019-04-28得票数 -2

回答已采纳

1回答

允许在您的系统上存储持久cookie的风险是什么？

cookies

通常，持久化cookie的风险是从站点的角度来描述的，而不是从用户的角度来描述的:如果您实现了持久性cookie，那么在未经适当授权的情况下偷取cookie并使用它访问站点的概率更高。在过去，错误的信息导致人们认为cookie我携带恶意软件或类似的东西，我们今天知道是不可行的，因为cookie是以纯文本文件形式

浏览 0提问于2015-12-03得票数 2

1回答

如何和在何处安全地存储访问令牌

javascript、c#、asp.net、jwt

我知道这个问题问了很多次，但坦率地说，我没有看到符合我的标准的答案。但是这些都不是真正的安全，因为它们没有受到XSS和CSRF的保护。更重要

浏览 3提问于2016-03-08得票数 5

1回答

双提交Cookie:攻击者可以将cookie设置为单独的标头吗？

csrf、token

我正在使用HttpOnly cookie来存储身份验证令牌客户端。为了减少CSRF攻击的风险，我采用了双提交Cookie模式。相同的令牌作为一个单独的具有相同值的头保存在客户端，当用户登录时，这两个标记都会被发送给后续请求。我的问题是:显然攻击者在执行CSRF攻击时会发送HttpOnly cookie，但是他们是否可以设置一个单独的授权头，其值与HttpOnly cooki

浏览 0提问于2019-10-14得票数 1

回答已采纳

1回答

如何使用Redux存储我的用户身份验证(令牌)？

angular、redux、angular8、redux-store

我开发了一个铬的扩展，在那里我将登录链接到网站。如何使用redux避免将令牌存储在本地/会话/cookie中？任何示例代码片段都将非常有用。

浏览 3提问于2019-11-12得票数 0

2回答

在非OAuth cookie中存储HttpOnly访问和刷新令牌

cookies、oauth2

我使用OAuth auth代码流生成访问和刷新令牌，然后将它们存储在两个不是HttpOnly的浏览器cookie中，并将它们也发送回客户机。减轻这些风险的一些方法是什么？另外，您认为PKCE可以以任何方式提高刷新令牌的安全性吗？据我所知，它只能提高auth代码流的安全性，但是在获得access+refresh令牌之后，它没有太大的不同，只是在将刷新令牌交换为新的令牌对时不需要使用秘密。谢谢

浏览 0提问于2018-09-13得票数 1

2回答

我已经读了几天了，我有两个问题 1) --如果我将访问令牌存储在本地存储中，并将刷新令牌存储在HttpOnly cookie中，是否需要担心HttpOnly？如果攻击者在发出请求时作弊，则好用户将收到响应。请求新访问令牌和刷新令牌并不坏，攻击者无法窃取响应的内容。这是真的吗？如果攻击是XSS，则可以进行相同的攻击，就好像它还将访问令牌存储为HttpOnly cookie一样.这是不好的</e

浏览 3提问于2020-07-16得票数 0

1回答

PHP会话是基于cookie还是cookie-IP对？

php、xss、cookies、session-management

我有一个PHP网站，我的问题是：或者他的IP也必须与登录用户相同？我的php.ini将session.use-cookie和session.use-只使用的cookie设置为true

浏览 0提问于2011-08-24得票数 6

回答已采纳

1回答

是否有理由不将JWT存储为硬化的cookie？

web-application、jwt

在web应用程序中存储用于身份验证的JWT时，我的第一反应是将其存储为“硬化的cookie"，这意味着设置了"HttpOnly”和"Secure“等所有所需的标志。这仍然允许我使用XHR，因为使用.withCredentials(true)向我自己的域中发出的XHR请求仍然包括cookie，同时也确保具有XSS功能的

浏览 0提问于2022-03-21得票数 5

回答已采纳

1回答

有没有可能在没有HttpOnly的情况下通过CSRF窃取曲奇呢？

cookies、csrf、jwt、cors

在不透露太多细节的情况下，假设我正在审核一个API，该API：有access-control-allow-origin:*在这种情况下，CSRF是不可能的，因为JWT不在cookie中，因此客户机的浏览器不发送它。然而，还有一个按钮，当单击该按钮时，JWT将被存储为cookie</e

浏览 0提问于2022-12-27得票数 1

回答已采纳

1回答

Javascript宝贵的网页数据

xss、cookies

当恶意用户和攻击者试图使用XSS窃取数据时，他们可以将像document.cookie这样的属性发送到恶意服务器，对吗？该属性是否具有特定网站的所有用户cookie，还是页面访问过的特定站点的cookie？如果编写黑名单，除了页面cookie之外，攻击者还能找到哪些其他属性？

浏览 0提问于2015-12-13得票数 0

1回答

除了https安全隧道之外，还有什么方法可以更安全地保护cookie吗？

javascript、php、security、cookies

我有一个应用程序，在这个应用程序中，我将auth令牌作为头请求中的cookie发送给服务器。此外，我强制应用程序在HTTPS上运行，因此cookie标头是加密的。然而，我知道这还不足以使cookie不能被(XSS)攻击访问。我想到了HttpOnly选项，但这不会有什么帮助，因为它不能被Javascript访问。是否有其他方法可以更好地保护我在头请求中发送的cookie？

浏览 11提问于2018-01-29得票数 0

6回答

在浏览器中将JWT存储在哪里？如何防范CSRF？

security、authentication、cookies、csrf、jwt

我知道基于曲奇的认证。SSL和HttpOnly标志可用于保护基于cookie的身份验证不受MITM和XSS的影响。然而，需要采取更多的特别措施，以保护它不受中央应急基金的影响。他们只是有点复杂。我只想有人提供一个更大的JWT图片，并澄清我误解了JWT的概念。如果JWT存储在cookie中，我认为它与基于cookie的身份验证相同，只是服务器不需要有会话来验证

浏览 7提问于2014-11-21得票数 293

回答已采纳

1回答

如何保护ASP.NET Core Web API不被窃取用于模拟的JWT令牌

angularjs、asp.net-core、mobile、asp.net-core-webapi、asp.net-core-security

我在IIS后的服务器上部署了一个ASP.NET核心REST API。Angular JS Web应用和移动(Android/IOS)应用使用REST API。对于授权，我使用JWT token()。最近通过安全审计，他们发现存储在本地存储中的JWT可以被来自同一组织的其他攻击者窃取并用于冒充(例如，员工使用Manager的功能)。我想把这个人或那台机器标记到那个JWT上，这样当JWT被盗时，攻击者就不会滥用

浏览 29提问于2019-01-03得票数 0

回答已采纳

1回答

使用没有服务器的SPA的JWT

javascript、security、jwt、single-page-application

假设这是https://static.example.com/app.html 众所周知，将JWT存储在sessionStorage中可能会导致使用XSS攻击(或添加到依赖项中的恶意代码等)窃取令牌。推荐的方法是将JWT存储在设置为HttpOn

浏览 0提问于2018-10-19得票数 6

1回答

JWT +cookie+ HTTPS + CSRF

cookies、https、token、csrf、jwt

我已经在移动应用程序上与JWT合作过，但我将首次在一个网站上实现它，以便进行身份验证，而且我还有一点还不明白：如果我在localStorage中使用JWT令牌，XSS攻击是可能的。如果我在cookie中使用JWT令牌，那么CRSF攻击是可能的。但是，如果我在HTTPS上使用JWT令牌和httpOnly+secure cookie，并且令牌生存期为1个月，那么在这种情况下，CSRF攻击仍然可能吗？我在web上看到了使用co

浏览 3提问于2016-02-10得票数 16

回答已采纳

1回答

我在哪里存储刷新令牌和访问令牌以及如何使用它？

javascript、node.js、cookies、jwt、token

我无法轻松地决定如何从后端接收刷新令牌和访问令牌，以及将其存储在何处。XSS可以使用cookie进行保护。使用cookie的容易受到CSRF的攻击。然而，对于cookie，可能被窃取为'document.cookie‘。因此，在发出http请求时，使用'httponly‘选项来防止来自的访问总是包

浏览 4提问于2021-05-20得票数 0

回答已采纳

4回答

HttpSession (HttpSession)是否验证IP地址？

java、session、servlets、cookies、httpsession

使用Java通过HttpSession接口管理的会话，将创建一个cookie JSESSIONID。这个cookie用于验证用户是否有创建的会话。但是，Servlet是否验证这个JSESSIONID值来自创建会话的同一台机器？我知道XSS (跨站点脚本)攻击可以窃取用户的会话cookie，但是当恶意用户将JSESSIONID发送回服务器时，他/她能够检索

浏览 6提问于2015-05-08得票数 1

回答已采纳

1回答

在LocalStorage中存储加密令牌

xss、session-management、local-storage

我们也希望避免使用cookie。这样做避免了CSRF的担忧，但在Cordova应用程序中对cookie的支持似乎要么不存在，要么至少不可靠。第二个令牌是在对API的所有后续请求中使用的，以证明用户是可信的，过期时间相对较短，并且应用程序不会以任何持久的方式存储。在稍后返回应用程序时，用户只需提供他们选择的PIN。它可以用于解密存储</e

浏览 0提问于2019-10-01得票数 1

点击加载更多