国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

記一次簡單的DOM XSS攻擊實驗

joy968 / 1427人閱讀

摘要:之前就對有所耳聞,不過昨天在學習深入淺出過程中,才深入了解到攻擊的原理,于是找到那本很早就想看的前端黑客技術解密,找到跨站攻擊腳本章節,于是有了下面這個簡單的攻擊實驗。

之前就對XSS有所耳聞,不過昨天在學習《深入淺出nodejs》過程中,才深入了解到XSS攻擊的原理,于是找到那本很早就想看的《web前端黑客技術解密》,找到 跨站攻擊腳本XSS 章節,于是有了下面這個簡單的XSS攻擊實驗。

index.html




    
    XSSdemo

關鍵代碼:eval(location.hash.substr(1))

xss.js(XSS攻擊腳本,存儲在七牛云上:http://ov6jc8fwp.bkt.clouddn....)

alert("你的網站被XSS攻擊了!")

關鍵代碼:alert("你的網站被XSS攻擊了!")
Cookie被經常當作輸入點,可以使用escape(document.cookie)來獲取用戶Cookie中保存的敏感信息,例如電話號碼,密碼等等。

如何進行攻擊?

待訪問文件xss.html的url上加上hash值。
#document.write("")

例如:
file:///C:/Users/jack/Desktop/XSSdemo/index.html#document.write("")

可以攻擊Chrome嗎?

在Chrome中輸入

file:///C:/Users/jack/Desktop/XSSdemo/index.html#document.write(


為什么會被攔截?
因為Chrome 的filter防御機制會導致這個無法成功,其它瀏覽器可以被攻擊。


那么如何攻擊FireFox呢?


(瀏覽器版本為Firefox 57.0 Quantum版)
需要對原始攻擊代碼做下簡單調整。
eval(decodeURI(location.hash.substr(1)))
相應的訪問鏈接也更改為file:///C:/Users/jack/Desktop/XSSdemo/index.html#document.write(")


XSS攻擊FireFox成功!

可以看到,XSS腳本被成功寫入到index.html


IE可以被攻擊嗎?


(瀏覽器版本為IE11.726.15063.0 )
XSS攻擊IE11成功!


攻擊了這么久,難道我是要去綠,哦不,黑別人嗎?
NoNoNo,我是為了讓自己的網站更加安全。


之前有了解到javascript的eval()會有安全問題,通過今天的例子,才明白eval()原來會幫助 XSS攻擊輸入點代碼進行攻擊,例如:
本例中的輸入點為location.hash.substr(1),其值為"document.write(")")


簡單來說,eval()會執行XSS跨站攻擊腳本,前端工程師在開發過程中要注意eval()使用存在的安全隱患。


對于瀏覽器喜愛程度,我想Chrome在防御XSS攻擊方面又為自己加了不少分,以后強推Chrome又多了一個理由。


其實關于XSS攻擊還有很多學問在其中,我所了解到的只是冰山一角,后續再繼續探索!


That"s it !

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/11295.html

相關文章

  • 一次簡單DOM XSS攻擊實驗

    摘要:之前就對有所耳聞,不過昨天在學習深入淺出過程中,才深入了解到攻擊的原理,于是找到那本很早就想看的前端黑客技術解密,找到跨站攻擊腳本章節,于是有了下面這個簡單的攻擊實驗。 之前就對XSS有所耳聞,不過昨天在學習《深入淺出nodejs》過程中,才深入了解到XSS攻擊的原理,于是找到那本很早就想看的《web前端黑客技術解密》,找到 跨站攻擊腳本XSS 章節,于是有了下面這個簡單的XSS攻擊實...

    高璐 評論0 收藏0

  • 一次原生JS實現XSS攻擊案例

    摘要:為了加深自己對攻擊的理解,特意嘗試了一下,并把整個過程記錄下來。因為標簽有問題,在后臺返回來的標簽在是存在的,但是并沒有執行還請各位大佬多多指正 XSS:跨站腳本(Cross-site scripting) 攻擊手段和目的: 攻擊者使被攻擊者在瀏覽器中執行腳本后,如果需要收集來自被攻擊者的數據(如cookie或其他敏感信息),可以自行架設一個網站,讓被攻擊者通過JavaScript...

    TesterHome 評論0 收藏0

  • 【譯】Excess-XSS 一份關于 XSS 綜合教程

    摘要:示例攻擊如何進行下圖展示了攻擊者如何進行攻擊攻擊者利用網站的表單插入惡意字符串到網站數據庫中。恰恰相反,至少有兩種常見的方式,會導致受害者發起針對自己的反射型攻擊。攻擊者精心構造了一個包含惡意字符串的,將其發送給受害者。 原文地址:http://excess-xss.com/。如有翻譯不當之處,歡迎指出 :D 分為四部分: 概述 XSS 攻擊 XSS 防御 總結 第一部分:概述 X...

    timger 評論0 收藏0

  • 前端——影子殺手篇

    摘要:前言對于一個影子殺手而言,總能殺人于無形。前端也有影子殺手,它總是防不勝防地危害著你的網站本篇打算介紹一些前端的影子殺手們和。影子殺手們,由來已久,幾乎伴隨著整個互聯網的發展。 前言 對于一個影子殺手而言,總能殺人于無形。前端也有影子殺手,它總是防不勝防地危害著你的網站 本篇打算介紹一些前端的影子殺手們——XSS和CSRF。或許,你對它恨之入骨;又或者,你運用的得心應手。恨之入骨,可能...

    李世贊 評論0 收藏0

發表評論

0條評論

最新活動
閱讀需要支付1元查看
<