XSS跨站脚本攻击技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
本章结束,谢谢观赏
专家课堂(常见问题与解答) 专家课堂(常见问题与解答)
点拨1 点拨1:如何测试某个站点存在跨站攻击漏洞呢? 解答: 解答:使用代码“<script>alert(‘XSS’)</script>”来检测,是最常见的直接测试脚本系统 是否存在跨站脚本攻击的方法。一般情况下,如果这个代码可以正常被插入并执行,就说明 站点是存在跨站攻击漏洞的,攻击者此后就可以构造各种代码实现各种功能。如果不能被正 常插入并执行,则说明不存在跨站攻击漏洞。 点拨2 点拨2:为什么在使用“getURL("http://www.***.com ");”语句时,没有输入后面的分号“; ”就提示语法错误? 解答: 解答:Actions acript 的每行语句都以分号“;”结束,它不同于BASIC语言,Actions cript 语句同C++、Java、Pascal一样允许分多行书写,即允许将一条很的长语句分割成两个或更多 代码行,只要在结尾有个分号就行了。
下面以动网DVBBS论坛为例模拟攻击者进行详细操作: 步骤2:在“发起投票”页面中添加投票项目,在“投票项目”文本框中添加经典的跨 站脚本攻击代码:<script>alert('xss')</script>,填写代码的地方是“投票项 目”,其他地方攻击者一般会伪造成正常的信息,如图9-38所示。 步骤3:在伪装完成后,发布投票贴。此时,攻击者发布的投票贴中已经包含XSS代码 。只要用户访问了这个帖子,都将实现XSS攻击。为了测试效果,退出当前用户的 登录,然后使用管理员账户登录,访问这个投票贴,如图9-39所示。标准的XSS框 弹出,说明攻击者构造的跨站攻击脚本成功。
XSS提权攻击案例模拟 XSS提权攻击案例模拟
1.留言板XSS漏洞代码分析 2.详细XSS中的提权代码构造 3.XSS提权攻击实例步骤分析
XSS提权攻击实例步骤分析 XSS提权攻击实例步骤分析
XSS提权攻击的具体操作步骤如下: 步骤1:在IIS服务器中打开“index.asp”页面,即可进入“深度学习留言板”系统主 页,如图9-44所示。单击页面上方的【我要留言】按钮,即可打开“添加留言”页 面,根据代码分析,填写如图9-45所示的内容。
XSS钓鱼攻击分析 XSS钓鱼攻击分析
1.FLASH XSS钓鱼 2.UR编码与XSS钓鱼
跨站脚本攻击的防范
具体的操作步骤如下: 步骤1:打开IE浏览器,选择【工具】→【Internet选项】菜单项,即可弹出【 Internet选项】对话框,如图9-50所示。 步骤2:切换到【安全】选项卡,选择【Internet】图标,单击【自定义级别】按钮, 即可弹出【安全设置】对话框,在其中自定义Internet的安全级别,如图9-51所示 。 步骤3:找到“脚本”区域,再把“活动脚本”设置成“禁用”状态就可以了。
XSS攻击案例模拟 XSS攻击案例模拟
1 2 3 4 盗用用户权限攻击案例模拟 XSS挂马攻击Байду номын сангаас例模拟 XSS提权攻击案例模拟 XSS钓鱼攻击分析
XSS挂马攻击案例模拟 XSS挂马攻击案例模拟
1.XSS中的挂马代码 2.XSS缺陷代码分析 3.XSS挂马攻击过程模拟
XSS挂马攻击过程模拟 XSS挂马攻击过程模拟
下面以动网DVBBS论坛为例模拟攻击者进行详细操作: 步骤1:从网上下载动网DVBBS论坛源代码并在IIS中进行配置,再打开论坛的主页 “index.asp”,如图9-36所示。注册一个低权限的用户,随便进入一个版块,单 击页面上的“发起投票”按钮,发投票贴,如图9-37所示。
XSS挂马攻击过程模拟 XSS挂马攻击过程模拟
XSS提权攻击实例步骤分析 XSS提权攻击实例步骤分析
XSS提权攻击的具体操作步骤如下: 步骤2:单击【留言】按钮,即可成功提交留言内容。当管理员再次登录后台进行管理 工作的时候,选择左侧列表中的“留言板管理”选项,不用单击其他的内容,XSS 就能直接触发,如图9-46所示。 步骤3:此时选择左侧列表中的“网站用户管理”选项,即可看到除原本默认的管理员 外,又新增了一个名叫“duoduosixu”的管理员,如图9-47所示。
反黑风暴— — 网络渗透技术攻防高手修炼
XSS跨站脚本攻击技术 XSS跨站脚本攻击技术
♂XSS产生根源和触发条件 ♂跨站漏洞的利用 ♂XSS XSS攻击案例模拟 XSS ♂跨站脚本攻击的防范
XSS产生根源和触发条件 XSS产生根源和触发条件
XSS攻击产生的根源,究其实质来说,其原理就是在HTML中注入脚本,让原本正常的脚 本反馈给用户非正常信息。XSS钓鱼攻击的攻击模型如图9-1所示。XSS挂马一般出现在游戏 类的站点上,攻击者往往会在一个免费空间上传自己配置好的IE漏洞程序,再放置好想让 用户运行的后门木马,最后到被跨站攻击的站点上构造页面,使用各种方法让正常用户大 量的访问构造好的页面,从而实现批量挂马、批量抓肉鸡的目的。其典型的XSS挂马攻击模 型如图9-2所示。