Cookiel劫持测试工具 – Cookie Injecting Tools
- - FreeBuf.COMCookie Injecting Tools 是一款简单的开源cookie利用工具,是Chrome浏览器上开发的一个扩展插件,能够灵活地进行SQL注入测试,编辑以及添加删除COOKIE,界面简洁,易于使用. 可以直接下载打包好的CRX文件,源码就包含其中,当然也可以直接下载源码运行. 有两种方式.
Cookiel劫持测试工具 – Cookie Injecting Tools
标签:
工具
cookie注入
SQL注入
| 发表时间:2014-08-02 10:50 | 作者:lfzark
出处:http://www.freebuf.com
Cookie Injecting Tools 是一款简单的开源cookie利用工具,是Chrome浏览器上开发的一个扩展插件,能够灵活地进行SQL注入测试,编辑以及添加删除COOKIE,界面简洁,易于使用。
1.下载和安装
下载
可以直接下载打包好的CRX文件,源码就包含其中,当然也可以直接下载源码运行
https://github.com/lfzark/cookie-injecting-tools/
有两种方式
1.1 把.crx改成.rar,这样你就得到一个rar压缩文件,然后右键解压这个压缩文件,你会得到一个文件夹,可以看到里面的源码
然后打开chrome://settings/extensions,点击上方的“载入正在开发的扩展程序”,选中你刚刚解压出来的那一整个文件夹(不要选里面的子文件夹)然后点确定,就安装成功了。
1.2 浏览器地址栏输入chrome://extensions/ 进入扩展程序界面,然后将 cookie_injecting_tools 1.0.0.crx拖进去
2.使用
2.1.伪造Cookie
将劫持到的Cookie粘贴到如下图文本框中,单击 
按钮,如果成功 提示Inject Success. 如图中所示。恭喜你,伪造成功。
注意:支持的cookie格式是以 分号 ; 为分隔符,请确保,否则会失败。
2.2. 查看Cookie
输入你想查看cookie所在域名的关键字,比如google,会自动列出相关的cookie信息
2.3.编辑,添加 和删除Cookies
单击Edit编辑按钮 跳转到编辑页面如下图
参数解释
|
url |
string |
与待设置cookie相关的URL。该值影响所创建cookie的默认域名与路径值。如果清单文件中没有设置这个URL对应的主机权限,那么这个API调用会失败 |
必须 |
|
name |
string |
cookie名称,默认为空值 |
可选 |
|
value |
string |
cookie的值,默认为空值 |
可选 |
|
domain |
string |
cookie的域名。如果未指定,则该cookie是host-only cookie。 |
可选 |
|
path |
string |
cookie的路径。默认是url参数的路径部分。 |
可选 |
|
secure |
boolean |
是否cookie标记为保密。默认为false。 |
可选 |
|
httpOnly |
boolean |
cookie被标记为HttpOnly。默认为false。 |
可选 |
|
expirationDate |
number |
cookie的过期时间,用从UNIX epoch开始计的秒数表示。如果未指定,该cookie是一个会话cookie。 |
可选 |
如果要删除,只需填前两项 url和name;
成功会出现提示delete successfully
原创 by Ark https://github.com/lfzark/cookie-injecting-tools/
freebuf首发,转载请注明出处
相关 [cookiel 劫持 测试] 推荐:
渗透测试:内网DNS投毒技术劫持会话
- - FreeBuf.COM本文仅供渗透测试技术学习及教学用途,禁止非法使用. 最近一段时间一直在研究内网中嗅探的一些方法,各种方式的尝试,才找到一个比较靠谱的一种方式. 单一的ARP掉线也在10分钟内. 攻击机:Kali 10.10.10.237. 被攻击机: win7 10.10.10.232. 因为只为了测试,只修改了PC1的DNS.
HTTPS劫持研究
- - FreeBuf互联网安全新媒体平台这篇文章描述了我们对哈萨克斯坦政府实施的电信级HTTPS劫持的分析. 哈萨克斯坦政府最近开始使用一个假的根证书颁发机构,对包括Facebook,Twitter和Google等网站在内的HTTPS连接进行中间人(MitM)攻击,在此文中,我们给出了还在进行中的研究的初步结果,以及哈萨克劫持系统中新的技术细节.
漫谈流量劫持
- - WooYun知识库在鼠标点击的一刹那,流量在用户系统中流过层层节点,在路由的指引下奔向远程服务器. 这段路程中短兵相接的战斗往往是最激烈的,在所有流量可能路过的节点往往都埋伏着劫持者,流量劫持的手段也层出不穷,从主页配置篡改、hosts劫持、进程Hook、启动劫持、LSP注入、浏览器插件劫持、http代理过滤、内核数据包劫持、bootkit等等不断花样翻新.
测试
- 香姜 - 韩寒测试......>>点击查看新浪博客原文.
美国ISP劫持Google搜索结果
- 龙 - Solidotsquarefw 写道 "The New Scientist报道,多家美国ISP劫持了用户在搜索引擎里的搜索,将搜索结果重定向以便谋取利润. 当一位用户搜索“Apple”的时候,他的ISP会将其重定向到一个支付了佣金的商户网站上,重定向的网站甚至跟搜索关键字毫无关系. 好比说有人搜索“WSJ”想看华尔街日报的网站,但结果可能会打开一个推销Amazon Kindle阅读器的网站.
Activity劫持与用户防范
- - ITeye博客本文内容多参考于网上博文,但代码及用户防范的方法均属原创,转载请注明出处 http://msdxblog.sinaapp.com/?p=623. 1、Activity调试机制. 在android系统中,不同的程序之间的切换基本上是无缝的,它们之间的切换只不过是Activity的切换. Activity的概念相当于一个与用户交互的界面.
流量劫持是如何产生的?
- - FEX 百度 Web 前端研发部流量劫持,这种古老的攻击沉寂了一段时间后,最近又开始闹的沸沸扬扬. 众多知名品牌的路由器相继爆出存在安全漏洞,引来国内媒体纷纷报道. 只要用户没改默认密码,打开一个网页甚至帖子,路由器配置就会被暗中修改. 攻击还是那几种攻击,报道仍是那千篇一律的砖家提醒,以至于大家都麻木了. 早已见惯运营商的各种劫持,频繁的广告弹窗,大家也无可奈何.
XSS学习笔记(一)-点击劫持
- - CSDN博客Web前端推荐文章所谓的XSS场景就是触发的XSS的场所,多数情况下都是攻击者在网页中嵌入(发表)的恶意脚本(Cross site Scripting),这里的触发攻击总是在浏览器端,达到攻击的者的目的,一般都是获取用户的Cookie(可以还原账户登录状态),导航到恶意网址,携带木马,作为肉鸡发起CC攻击,传播XSS蠕虫等.
说说下载劫持那些事儿
- - 幻风阁|kent.zhu'sBlog本文转载自「给产品经理讲技术」公号,已经过原作者授权转载. 今年的双十一,想必广大千手观音们又狠狠的剁了几只手. 然而,剁手换来的宝贝在漫漫快递路上也是命途多舛,轻者磕磕碰碰包装损毁,重者与快递货车一起被付之一炬. 这些“不可抗力”造成的问题屡见不鲜,碰到了也只能自认倒霉. 不过,有的网友看着苹果6代的订单,却啃着寄过来的6袋苹果,个中滋味大家就自行脑补吧….