97无码免费人妻超级碰碰夜夜_xxx.www国产_av激情在线_成人久久18_国产精品特级片_鲁一鲁啪一啪

18842388900

網站建設 APP開發 小程序

Article/文章

記錄成長點滴 分享您我感悟

您當前位置>首頁 > 知識 > 網站建設

XSS學習筆記(一) - 點擊搶劫

所謂的XSS場景是觸發XSS的地方。在大多數情況下,攻擊者會插入(發布)惡意腳本(Cross Site Scripting)。這里的觸發器攻擊總是在瀏覽器端,到達攻擊者的位置。目的是獲取用戶的cookie(您可以恢復帳戶登錄狀態),導航到惡意網站,攜帶特洛伊木馬,作為肉雞發起CC攻擊,并傳播XSS蠕蟲。

整體分類分為三類:

基于Dom的(Dom風格)基于Stroed的(保留)基于反射的(反射)

舉一個簡單的場景:頁面上有一個文本框代碼,其中valuefrom是用戶的輸入。如果用戶輸入的值不是valuefrom,則可能會出現其他代碼,執行用戶輸入數據,例如輸入:“/>

這是為了顯示包含用戶cookie的提示框,如果輸入被更改:“onfocus=”alert(document.cookie);然后它變成:

這樣,在觸發onfocus事件后,將執行js代碼。當然,攻擊者彈出提示框不會是愚蠢的。這里只是證明可以獲得數據。 hk的一般做法是將所需數據發送給自己。另一種方法是在著陸頁上嵌入一段模糊的代碼(通常在更微妙的位置,或直接在最后):

1.點擊劫持(hjick點擊) - 非持久攻擊方法(反射XSS):原始服務器頁面是看到上面代碼的大哥,你感到震驚:這里將是被攻擊的提示框,但你會發現這不是點擊劫持?哦,不要擔心,只要你明白這個道理,我相信你很猥瑣并想到直接添加js直接修改好的超鏈接。以下是具體方法:如果用戶輸入URL:index.php? ID=ByteWay

當然,這里看到的URL太明顯了,我該怎么辦?只需添加urlencode()等函數即可發揮模糊查看的作用。

網站建設,小程序開發,小程序制作,微信小程序開發,公眾號開發,微信公眾號開發,網頁設計,網站優化,網站排名,網站設計,微信小程序設計,小程序定制,微信小程序定制

相關案例查看更多

主站蜘蛛池模板: 鲜城| 五家渠市| 鹤壁市| 衡阳县| 淄博市| 沭阳县| 大新县| 离岛区| 富平县| 犍为县| 五华县| 克什克腾旗| 洛南县| 湟中县| 宣城市| 水富县| 邛崃市| 缙云县| 石棉县| 五家渠市| 海安县| 庆阳市| 凌源市| 荆州市| 庆阳市| 曲靖市| 宁都县| 缙云县| 大足县| 富顺县| 财经| 顺平县| 溆浦县| 崇文区| 儋州市| 淅川县| 南漳县| 冀州市| 广水市| 扬州市| 宣化县|