国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

XSS攻擊:無處不在的輸入點

woshicixide / 1204人閱讀

摘要:主要著重于當遇到輸入過濾的情況下,如何找到可以利用的輸入點。本質上來說如果要進行攻擊,只要找到一個未過濾的輸入點。而輸入點并不僅僅是網頁里的表單,只要去發現,輸入點無處不在。

這不是一篇介紹介紹技術的文章,只是一種開放思維的嘗試。主要著重于當遇到輸入過濾的情況下,如何找到可以利用的輸入點。

本質上來說如果要進行xss攻擊,只要找到一個未過濾的輸入點。輸入的數據在支持腳本的軟件(不僅限于瀏覽器)里解析就可以了。sqli也是類似的道理。而輸入點并不僅僅是網頁里的表單,只要去發現,輸入點無處不在。下面介紹一些拋磚引玉的想法,也歡迎大家分享自己的思路。

user agent 字段

不僅僅是useragent字段,還包括頭部的其他字段。比如把useragent改成

`""

很多日志分析工具都是生成html格式的報告,如果這個字段沒有合適的過濾編碼就輸出在html里,管理員查看的時候就會執行插入的js了。Splunk就曾經出過因為對referer字段沒有過濾導致的xss漏洞。

SSIDs

這只是一個假想的攻擊方式,SSIDs可以有32個字符甚至可以包含不能打印的ASCII,SSID可能出現在某些記錄wifi連接記錄的日志里。

事件日志

很多人分析日志都會用第三方的日志查看工具。如果我們用


作為用戶名嘗試登陸,登陸失敗后會記錄在日志中。第三方工具如果沒有合適的過濾編碼字符串,管理員查看工具生成的html格式的報告時就可能受到xss攻擊。

計算機名和描述

這個場景我在Softperfect’s NetScan實踐過。在這里插入xss代碼,當滲透測試人員查看掃描報告的時候。。。。。

應用的名字和元數據

一些管理軟件會列出來電腦上安裝的軟件信息,如果是用html來實現。。。

Banners

大多網絡掃描器都可以識別banner,而且可以輸出多種格式,html,xml等。


原文 irongeek.com?
編譯 litdg
via FreebuF

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/49456.html

相關文章

  • XSS攻擊無處不在輸入

    摘要:主要著重于當遇到輸入過濾的情況下,如何找到可以利用的輸入點。本質上來說如果要進行攻擊,只要找到一個未過濾的輸入點。而輸入點并不僅僅是網頁里的表單,只要去發現,輸入點無處不在。 這不是一篇介紹介紹技術的文章,只是一種開放思維的嘗試。主要著重于當遇到輸入過濾的情況下,如何找到可以利用的輸入點。 showImg(http://segmentfault.com/img/bVbLBN); 本...

    ityouknow 評論0 收藏0
  • Web 安全漏洞之 XSS 攻擊

    摘要:是一種經常出現在應用程序中的計算機安全漏洞,是由于應用程序對用戶的輸入過濾不足而產生的。常見的攻擊有三種反射型型存儲型。但是作為開發人員依然要了解基本知識于細節處避免制造漏洞。 showImg(https://segmentfault.com/img/bVbjJDk); 編者說:作為JS系工程師接觸最多的漏洞我想就是 XSS 漏洞了,然鵝并不是所有的同學對其都有一個清晰的認識。今天我們...

    lieeps 評論0 收藏0
  • 記一次簡單DOM XSS攻擊實驗

    摘要:之前就對有所耳聞,不過昨天在學習深入淺出過程中,才深入了解到攻擊的原理,于是找到那本很早就想看的前端黑客技術解密,找到跨站攻擊腳本章節,于是有了下面這個簡單的攻擊實驗。 之前就對XSS有所耳聞,不過昨天在學習《深入淺出nodejs》過程中,才深入了解到XSS攻擊的原理,于是找到那本很早就想看的《web前端黑客技術解密》,找到 跨站攻擊腳本XSS 章節,于是有了下面這個簡單的XSS攻擊實...

    joy968 評論0 收藏0
  • 記一次簡單DOM XSS攻擊實驗

    摘要:之前就對有所耳聞,不過昨天在學習深入淺出過程中,才深入了解到攻擊的原理,于是找到那本很早就想看的前端黑客技術解密,找到跨站攻擊腳本章節,于是有了下面這個簡單的攻擊實驗。 之前就對XSS有所耳聞,不過昨天在學習《深入淺出nodejs》過程中,才深入了解到XSS攻擊的原理,于是找到那本很早就想看的《web前端黑客技術解密》,找到 跨站攻擊腳本XSS 章節,于是有了下面這個簡單的XSS攻擊實...

    高璐 評論0 收藏0

發表評論

0條評論

最新活動
閱讀需要支付1元查看
<