Cookiel劫持测试工具 – Cookie Injecting Tools

标签: 工具 cookie注入 SQL注入 | 发表时间:2014-08-02 10:50 | 作者:lfzark
出处:http://www.freebuf.com

‍‍

‍Cookie Injecting Tools 是一款简单的开源cookie利用工具,是Chrome浏览器上开发的一个扩展插件,能够灵活地进行SQL注入测试,编辑以及添加删除COOKIE,界面简洁,易于使用‍‍。‍‍‍‍

‍‍

1.下载和安装

‍‍‍‍下载

可以直接下载打包好的CRX文件,源码就包含其中,当然也可以直接下载源码运行‍‍
https://github.com/lfzark/cookie-injecting-tools/

‍‍‍‍ 有两种方式‍‍

‍‍‍‍‍‍1.1 把.crx改成.rar,这样你就得到一个rar压缩文件,然后右键解压这个压缩文件,你会得到一个文件夹,可以看到里面的源码
然后打开chrome://settings/extensions,点击上方的“载入正在开发的扩展程序”,选中你刚刚解压出来的那一整个文件夹(不要选里面的子文件夹)然后点确定,就安装成功了。‍‍‍‍‍‍

‍‍1.2 ‍‍浏览器地址栏输入chrome://extensions/ 进入扩展程序界面,然后将 cookie_injecting_tools 1.0.0.crx拖进去‍‍

2.使用

‍‍‍‍2.1.伪造Cookie‍‍

将劫持到的Cookie粘贴到如下图文本框中,单击 按钮,如果成功 提示Inject Success. 如图中所示。恭喜你,伪造成功。

‍‍注意:支持的cookie格式是以 分号 ; 为分隔符,请确保,否则会失败。‍‍‍‍

Alt text


‍‍‍‍2.2. 查看Cookie ‍‍

输入你想查看cookie所在域名的关键字,比如google,会自动列出相关的cookie信息‍‍

Alt text

‍‍‍‍2.3.编辑,添加 和删除Cookies‍‍

单击Edit编辑按钮 跳转到编辑页面如下图‍‍

Alt text


参数解释


url 

string 

与待设置cookie相关的URL。该值影响所创建cookie的默认域名与路径值。如果清单文件中没有设置这个URL对应的主机权限,那么这个API调用会失败

必须

name 

string 

cookie名称,默认为空值

可选

value 

string 

cookie的值,默认为空值

可选

domain 

string 

cookie的域名。如果未指定,则该cookie是host-only cookie。

可选

path 

string 

cookie的路径。默认是url参数的路径部分。

可选

secure 

boolean  

是否cookie标记为保密。默认为false。

可选

httpOnly 

boolean  

cookie被标记为HttpOnly。默认为false。

可选

expirationDate 

number 

cookie的过期时间,用从UNIX epoch开始计的秒数表示。如果未指定,该cookie是一个会话cookie。

可选

‍‍‍‍‍‍‍‍如果要删除,只需填前两项 url和name;‍‍

成功会出现提示delete successfully‍‍‍‍‍‍

demo4.png

‍‍‍‍‍‍

‍‍原创 by Ark  https://github.com/lfzark/cookie-injecting-tools/‍

freebuf首发,转载请注明出处‍‍‍‍‍‍

相关 [cookiel 劫持 测试] 推荐:

Cookiel劫持测试工具 – Cookie Injecting Tools

- - FreeBuf.COM
‍‍Cookie Injecting Tools 是一款简单的开源cookie利用工具,是Chrome浏览器上开发的一个扩展插件,能够灵活地进行SQL注入测试,编辑以及添加删除COOKIE,界面简洁,易于使用‍‍. 可以直接下载打包好的CRX文件,源码就包含其中,当然也可以直接下载源码运行‍‍. ‍‍‍‍ 有两种方式‍‍.

渗透测试:内网DNS投毒技术劫持会话

- - FreeBuf.COM
‍本文仅供渗透测试技术学习及教学用途,禁止非法使用‍. 最近一段时间一直在研究内网中嗅探的一些方法,各种方式的尝试,才找到一个比较靠谱的一种方式. 单一的ARP掉线也在10分钟内. 攻击机:Kali 10.10.10.237. 被攻击机: win7 10.10.10.232. 因为只为了测试,只修改了PC1的DNS.

HTTPS劫持研究

- - FreeBuf互联网安全新媒体平台
这篇文章描述了我们对哈萨克斯坦政府实施的电信级HTTPS劫持的分析. 哈萨克斯坦政府最近开始使用一个假的根证书颁发机构,对包括Facebook,Twitter和Google等网站在内的HTTPS连接进行中间人(MitM)攻击,在此文中,我们给出了还在进行中的研究的初步结果,以及哈萨克劫持系统中新的技术细节.

漫谈流量劫持

- - WooYun知识库
在鼠标点击的一刹那,流量在用户系统中流过层层节点,在路由的指引下奔向远程服务器. 这段路程中短兵相接的战斗往往是最激烈的,在所有流量可能路过的节点往往都埋伏着劫持者,流量劫持的手段也层出不穷,从主页配置篡改、hosts劫持、进程Hook、启动劫持、LSP注入、浏览器插件劫持、http代理过滤、内核数据包劫持、bootkit等等不断花样翻新.

测试

- 香姜 - 韩寒
测试......>>点击查看新浪博客原文.

美国ISP劫持Google搜索结果

- 龙 - Solidot
squarefw 写道 "The New Scientist报道,多家美国ISP劫持了用户在搜索引擎里的搜索,将搜索结果重定向以便谋取利润. 当一位用户搜索“Apple”的时候,他的ISP会将其重定向到一个支付了佣金的商户网站上,重定向的网站甚至跟搜索关键字毫无关系. 好比说有人搜索“WSJ”想看华尔街日报的网站,但结果可能会打开一个推销Amazon Kindle阅读器的网站.

Activity劫持与用户防范

- - ITeye博客
本文内容多参考于网上博文,但代码及用户防范的方法均属原创,转载请注明出处 http://msdxblog.sinaapp.com/?p=623. 1、Activity调试机制. 在android系统中,不同的程序之间的切换基本上是无缝的,它们之间的切换只不过是Activity的切换. Activity的概念相当于一个与用户交互的界面.

流量劫持是如何产生的?

- - FEX 百度 Web 前端研发部
流量劫持,这种古老的攻击沉寂了一段时间后,最近又开始闹的沸沸扬扬. 众多知名品牌的路由器相继爆出存在安全漏洞,引来国内媒体纷纷报道. 只要用户没改默认密码,打开一个网页甚至帖子,路由器配置就会被暗中修改. 攻击还是那几种攻击,报道仍是那千篇一律的砖家提醒,以至于大家都麻木了. 早已见惯运营商的各种劫持,频繁的广告弹窗,大家也无可奈何.

XSS学习笔记(一)-点击劫持

- - CSDN博客Web前端推荐文章
所谓的XSS场景就是触发的XSS的场所,多数情况下都是攻击者在网页中嵌入(发表)的恶意脚本(Cross site Scripting),这里的触发攻击总是在浏览器端,达到攻击的者的目的,一般都是获取用户的Cookie(可以还原账户登录状态),导航到恶意网址,携带木马,作为肉鸡发起CC攻击,传播XSS蠕虫等.

说说下载劫持那些事儿

- - 幻风阁|kent.zhu'sBlog
本文转载自「给产品经理讲技术」公号,已经过原作者授权转载. 今年的双十一,想必广大千手观音们又狠狠的剁了几只手. 然而,剁手换来的宝贝在漫漫快递路上也是命途多舛,轻者磕磕碰碰包装损毁,重者与快递货车一起被付之一炬. 这些“不可抗力”造成的问题屡见不鲜,碰到了也只能自认倒霉. 不过,有的网友看着苹果6代的订单,却啃着寄过来的6袋苹果,个中滋味大家就自行脑补吧….