97无码免费人妻超级碰碰夜夜_xxx.www国产_av激情在线_成人久久18_国产精品特级片_鲁一鲁啪一啪

18842388900

網站建設 APP開發 小程序

Article/文章

記錄成長點滴 分享您我感悟

您當前位置>首頁 > 知識 > 網站建設

XSS學習筆記(一) - 點擊搶劫

所謂的XSS場景是觸發XSS的地方。在大多數情況下,攻擊者會插入(發布)惡意腳本(Cross Site Scripting)。這里的觸發器攻擊總是在瀏覽器端,到達攻擊者的位置。目的是獲取用戶的cookie(您可以恢復帳戶登錄狀態),導航到惡意網站,攜帶特洛伊木馬,作為肉雞發起CC攻擊,并傳播XSS蠕蟲。

整體分類分為三類:

基于Dom的(Dom風格)基于Stroed的(保留)基于反射的(反射)

舉一個簡單的場景:頁面上有一個文本框代碼,其中valuefrom是用戶的輸入。如果用戶輸入的值不是valuefrom,則可能會出現其他代碼,執行用戶輸入數據,例如輸入:“/>

這是為了顯示包含用戶cookie的提示框,如果輸入被更改:“onfocus=”alert(document.cookie);然后它變成:

這樣,在觸發onfocus事件后,將執行js代碼。當然,攻擊者彈出提示框不會是愚蠢的。這里只是證明可以獲得數據。 hk的一般做法是將所需數據發送給自己。另一種方法是在著陸頁上嵌入一段模糊的代碼(通常在更微妙的位置,或直接在最后):

1.點擊劫持(hjick點擊) - 非持久攻擊方法(反射XSS):原始服務器頁面是看到上面代碼的大哥,你感到震驚:這里將是被攻擊的提示框,但你會發現這不是點擊劫持?哦,不要擔心,只要你明白這個道理,我相信你很猥瑣并想到直接添加js直接修改好的超鏈接。以下是具體方法:如果用戶輸入URL:index.php? ID=ByteWay

當然,這里看到的URL太明顯了,我該怎么辦?只需添加urlencode()等函數即可發揮模糊查看的作用。

網站建設,小程序開發,小程序制作,微信小程序開發,公眾號開發,微信公眾號開發,網頁設計,網站優化,網站排名,網站設計,微信小程序設計,小程序定制,微信小程序定制

相關案例查看更多

主站蜘蛛池模板: 湘潭市| 新宁县| 江永县| 奉贤区| 丽水市| 梅河口市| 务川| 砚山县| 云安县| 常熟市| 德令哈市| 洞口县| 辽阳市| 藁城市| 祁连县| 石泉县| 金山区| 海南省| 长阳| 宽城| 深泽县| 肃南| 奇台县| 晋中市| 焉耆| 桃江县| 临清市| 建平县| 黔西县| 梁平县| 满城县| 壶关县| 荆州市| 城市| 将乐县| 孝感市| 梅河口市| 湟源县| 扎赉特旗| 南川市| 崇礼县|