18842388900

網站建設 APP開發 小程序

Article/文章

記錄成長點滴 分享您我感悟

您當前位置>首頁 > 知識 > 網站建設

XSS學習筆記(一) - 點擊搶劫

所謂的XSS場景是觸發XSS的地方。在大多數情況下,攻擊者會插入(發布)惡意腳本(Cross Site Scripting)。這里的觸發器攻擊總是在瀏覽器端,到達攻擊者的位置。目的是獲取用戶的cookie(您可以恢復帳戶登錄狀態),導航到惡意網站,攜帶特洛伊木馬,作為肉雞發起CC攻擊,并傳播XSS蠕蟲。

整體分類分為三類:

基于Dom的(Dom風格)基于Stroed的(保留)基于反射的(反射)

舉一個簡單的場景:頁面上有一個文本框代碼,其中valuefrom是用戶的輸入。如果用戶輸入的值不是valuefrom,則可能會出現其他代碼,執行用戶輸入數據,例如輸入:“/>

這是為了顯示包含用戶cookie的提示框,如果輸入被更改:“onfocus=”alert(document.cookie);然后它變成:

這樣,在觸發onfocus事件后,將執行js代碼。當然,攻擊者彈出提示框不會是愚蠢的。這里只是證明可以獲得數據。 hk的一般做法是將所需數據發送給自己。另一種方法是在著陸頁上嵌入一段模糊的代碼(通常在更微妙的位置,或直接在最后):

1.點擊劫持(hjick點擊) - 非持久攻擊方法(反射XSS):原始服務器頁面是看到上面代碼的大哥,你感到震驚:這里將是被攻擊的提示框,但你會發現這不是點擊劫持?哦,不要擔心,只要你明白這個道理,我相信你很猥瑣并想到直接添加js直接修改好的超鏈接。以下是具體方法:如果用戶輸入URL:index.php? ID=ByteWay

當然,這里看到的URL太明顯了,我該怎么辦?只需添加urlencode()等函數即可發揮模糊查看的作用。

網站建設,小程序開發,小程序制作,微信小程序開發,公眾號開發,微信公眾號開發,網頁設計,網站優化,網站排名,網站設計,微信小程序設計,小程序定制,微信小程序定制

相關案例查看更多

(*^▽^*)MG幸运月巨额大奖视频 单双各10码王中王中特 pt闪电牛大奖图 天津快乐十分开奖官网 金牛棋牌炸金花 熊猫麻将官方版 广东快乐十分开奖直播 金多宝单双3尾中特 欢乐谷棋牌手机安卓版 网络捕鱼游戏平台 江苏快3计划免费 爱玩棋牌官方充值 真人血战到底麻将下载 广东十一选五杀号技巧 快乐8官网下载app 王者陕西麻将 江苏快三和值计划