跨站脚本攻击——XSS基础

By | 11月 30, 2017

1.原理

         跨站脚本(Cross-Site-Scripting,XSS)是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户的输入过滤不足而产生的。攻击者利用网站漏洞把恶意的脚本代码(通常包括HTML代码和客户端JavaScript脚本)注入到网页中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害用户可能采用Cookie资料窃取、会话劫持、钓鱼欺骗等各种攻击。

1.1发生位置

目标网站的目标用户的浏览器层面。

2.利用方式

  • 窃取客户端Cookie资料,攻击者通常利用网站的XSS漏洞发起攻击。
  • 窃取客户端Cookie资料,攻击者通常利用网站的XSS漏洞发起攻击。
  • XSS的另一个利用方式,XSS蠕虫。

3.XSS蠕虫的条件

  • 内容由用户驱动。
  • 存在XSS漏洞。
  • 受害者处于登录状态。
  • 具有内容传播性。

4.XSS蠕虫的危害

  • 对用户数据进行恶意操作。
  • 拒绝服务攻击(DoS)。
  • 分布式拒绝服务攻击(DDoS)。
  • 散播广告。
  • 传播网页木马。
  • 传播舆情。

5.本地测试简单跨站脚本攻击

        我在本地进行简单的XSS测试,准备的页面把用户通过GET发送过来的表单数据,未经处理直接写入返回的html流。

%e5%9b%be%e7%89%871

当用户点击页面中的照片时,他的IP地址和cookie都发送到了一个 txt文件中。

%e5%9b%be%e7%89%872

因为浏览器阻止这个简单脚本,所以获得的文本文档中只有ip地址。

%e5%9b%be%e7%89%873

发表评论

您的电子邮箱地址不会被公开。