看好你的門-XSS攻擊(2)-利用反射型XSS漏洞 進行鍼對性攻擊
首先需要宣告,本文純屬一個毫無遠見和真才實學的小小開發人員的愚昧見解,僅供用於web系統安全方面的參考。
1、 反射型XSS漏洞
以前普遍認為,反射型XSS漏洞的危害是比較小的;但是隨著網際網路的發展,特別是網際網路金融的發展;讓針對性的攻擊獲取的價值越來越大,因此反射型XSS漏洞造成的危害也越來越嚴重;
2、 利用反射型XSS漏洞 進行鍼對性攻擊的準備
現在很多的瀏覽器預設有一些防止XSS漏洞或者攻擊的功能,推薦用IE瀏覽器做XSS測試,為了讓測試能夠正常開始。我們需要關閉IE瀏覽器自帶的XSS篩選器。在“工具”-“Internet選項”-“安全”-“自定義級別”中,找到“啟用XSS篩選器”,然後選擇禁用。
3、 前提,一個能夠被注入XSS漏洞的頁面
XssReflect.jsp
<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>看好你的門-作者:阿飯同學</title>
<meta name="author" content ="範芳銘">
</head>
<body>
你的地址:<%=(String)request.getRemoteAddr()%> <br>
公告訊息:<%=(String)request.getParameter("message")%> <br>
</body>
</html>
這個頁面對message注入的資訊沒有做過濾和處理,因此可以住人HTML指令碼或者其他東東;
http://127.0.0.1:8080/webStudy/XssReflect.jsp?message=%3Cscript%3Ealert(1)%3C/script%3E
上面一串東西已經經過了瀏覽器的編碼,實際上就是:
http://127.0.0.1:8080/webStudy/XssReflect.jsp?message=
然後就出來了一個對話方塊。
既然對話方塊能夠出來,那麼貌似別的東東也可以。
4、 利用反射型XSS漏洞 進行鍼對性攻擊的原理
通過各種合法和非法的手段,我知道王大戶註冊了“大富豪”網站,而且還有了他的郵箱、手機等其它能接收資訊的聯絡方式,我做一個超連結發給他,超連結地址為:http://XXXX?content=,當王大戶點選這個連結的時候(假設他已經登入大富豪網站),瀏覽器就會直接開啟b.com,並且把王大戶在大富豪網站中的cookie資訊傳送到b.com,b.com是我搭建的網站,當我的網站接收到該資訊時,我就盜取了王大戶在大富豪網站中的cookie資訊,cookie資訊中可能存有登入密碼,攻擊成功!
攻擊者有可能捲走王大戶的各種資源。
這個過程中,受害者只有王大戶。
這種攻擊因為針對性極強,因此是一種針對性的定向攻擊手段。
現代因為網際網路金融的飛速發展,讓這種攻擊變的有利可圖,因此猜測可能是下一階段的主流攻擊形式。
相關文章
- 什麼是XSS攻擊?XSS攻擊有哪幾種型別?型別
- XSS攻擊有什麼特點?XSS攻擊分為幾個型別?型別
- Web 安全漏洞之 XSS 攻擊Web
- 如何防止XSS攻擊
- Web安全系列(三):XSS 攻擊進階(挖掘漏洞)Web
- 前端攻擊 XSS 深入解析前端
- XSS攻擊和CSRF攻擊有什麼區別?
- 什麼是XSS攻擊?其攻擊原理有哪些?
- 荷蘭或將向勒索攻擊宣戰;蘋果 AirTag 存在儲存型XSS漏洞,恐被攻擊者利用蘋果AI
- 常見Flash XSS攻擊方式
- XSS與SQL隱碼攻擊SQL
- React 防注入攻擊 XSS攻擊 (放心大膽的用吧)React
- 常見網路攻擊:XSS 篇
- 寬位元組XSS跨站攻擊
- 【web安全】深入淺出XSS攻擊Web
- 【網路安全入門】你知道防範XSS漏洞攻擊的原則有哪些嗎?
- 詳解Web應用安全系列(2)注入漏洞之XSS攻擊Web
- 前端面試查漏補缺--(七) XSS攻擊與CSRF攻擊前端面試
- 如何進行滲透測試XSS跨站攻擊檢測
- XSS跨站指令碼攻擊介紹指令碼
- JeecgBoot抵禦XSS攻擊實現方案boot
- 詳解Xss 及SpringBoot 防範Xss攻擊(附全部程式碼)Spring Boot
- 利用JSONP進行水坑攻擊JSON
- 【技術乾貨】XSS攻擊、CSRF攻擊基本概念及防範方法
- 不可忽視的前端安全問題——XSS攻擊前端
- 簡單易懂的XSS(跨站指令碼攻擊)指令碼
- 前端安全系列(一):如何防止XSS攻擊?前端
- Web安全之跨站指令碼攻擊(XSS)Web指令碼
- Spring中防止跨站指令碼 (XSS)攻擊Spring指令碼
- web安全之XSS攻擊原理及防範Web
- XSS 與 CSRF 攻擊——有什麼區別?
- 前端安全 — 淺談JavaScript攔截XSS攻擊前端JavaScript
- 這一次,徹底理解XSS攻擊
- 聊兩句XSS(跨站指令碼攻擊)指令碼
- 網站安全公司對於網站XSS攻擊處理方案網站
- 讓你徹底瞭解SQL隱碼攻擊、XSS和CSRFSQL
- 總結 XSS 與 CSRF 兩種跨站攻擊
- 建議收藏!XSS與CSRF攻擊防範措施
- Vice Society 勒索軟體正在利用PrintNightmare漏洞進行攻擊