18842388900

网站建设 APP开发 小程序

Article/文章

记录成长点滴 分享您我感悟

您当前位置>首页?>?知识?>?网站建设

XSS学习笔记(一) - 点击抢劫

所谓的XSS场景是触发XSS的地方。在大多数情况下,攻击者会插入(发布)恶意脚本(Cross Site Scripting)。这里的触发器攻击总是在浏览器端,到达攻击者的位置。目的是获取用户的cookie(您可以恢复帐户登录状态),导航到恶意网站,携带特洛伊木马,作为肉鸡发起CC攻击,并传播XSS蠕虫。

整体分类分为三类:

基于Dom的(Dom风格)基于Stroed的(保留)基于反射的(反射)

举一个简单的场景:页面上有一个文本框代码,其中valuefrom是用户的输入。如果用户输入的值不是valuefrom,则可能会出现其他代码,执行用户输入数据,例如输入:“/>

这是为了显示包含用户cookie的提示框,如果输入被更改:“onfocus=”alert(document.cookie);然后它变成:

这样,在触发onfocus事件后,将执行js代码。当然,攻击者弹出提示框不会是愚蠢的。这里只是证明可以获得数据。 hk的一般做法是将所需数据发送给自己。另一种方法是在着陆页上嵌入一段模糊的代码(通常在更微妙的位置,或直接在最后):

1.点击劫持(hjick点击) - 非持久攻击方法(反射XSS):原始服务器页面是看到上面代码的大哥,你感到震惊:这里将是被攻击的提示框,但你会发现这不是点击劫持?哦,不要担心,只要你明白这个道理,我相信你很猥琐并想到直接添加js直接修改好的超链接。以下是具体方法:如果用户输入URL:index.php? ID=ByteWay

当然,这里看到的URL太明显了,我该怎么办?只需添加urlencode()等函数即可发挥模糊查看的作用。

网站建设,小程序开发,小程序制作,微信小程序开发,公众号开发,微信公众号开发,网页设计,网站优化,网站排名,网站设计,微信小程序设计,小程序定制,微信小程序定制

相关案例查看更多