2023年3月18日發(作者:minisite)跨站攻擊技術
1,Web2.0時代的發展方向
2,Web2.0時代的主流攻擊技術-XSS
3,XSS攻擊的原理是什么
4,XSS攻擊的分類
5專項審計
,利用XSS漏洞能做什么
5,X香港哪里好玩
SS攻擊的簡單實現
了解We夢見屎是什么意思
b2.0時代
理解XSS攻擊的原理
理解XSS的兩種攻擊方式
了解XSS攻擊的危害
掌握如何檢測及簡單利用XSS漏洞
一 什么是Web2.0
web1.0可理解為目前的互聯網,而web2.0則是互聯網不久的將來.這里通過一些簡單的對比來描述web2.0.
從知識生產的角度看,WEB1.0的任務,是將以前沒有放在網上的人類知識,通過商業的力量,放到網上去。WEB2.0的任務是,將這些知識,通過每個用戶的瀏覽求知的力量,協作工作,把知識有機的組織起來
從內容產生者角度看,WEB1.0是商業公司為主體把內容往網上搬,而WEB2.0則是以用戶為主,以簡便隨意方式,通過blog/podcasting方式把新內容往網上搬
從交互性看,WEB1.0是網站對用戶為主;WEB2.0是以P2P為主
從技術上看,WEB客戶端化,工作效率越來越高。web2.0中的Ajax技術,(是指教師考核評語
一種創建交互式網頁應用的網頁開發技術,即下一代互聯網,全稱:異步JavaScript和XML) GoogleMAP/Gmail里面用得出神入化
二 理指望近義詞
解XSS攻擊的原理
XSS攻擊技術是未來的Web2.0主流攻擊手段.
XSS(Cross Site Script)的全稱是跨站腳本,其基本攻擊原理是:用戶提交的變量沒有經過完整過濾Html字符或者根本就沒有經過過濾就放到了數據庫中,一個惡意用戶提交的Html代碼被其他瀏覽該網站的用戶訪問,通過這些Html代碼也就間接控制了瀏覽者的瀏覽器,就可以做很多的事情了如竊取敏感信息,引導訪問者的瀏覽器去訪問惡意網站等.
三 XSS攻擊的兩種方式
1,內跨站(來自自身的攻擊)主要指的是利用程序自身的漏洞,構造跨站語句.
具體的數據流程如下:
惡意的Html輸入——>web程序——>進入數據庫——>web程序——>用戶瀏覽器
2,外跨站(來自外部的攻擊),主要指的自己構造XSS跨站漏洞網頁或者尋找非目標機以外的有跨站漏洞的網頁。如當我們要滲透一個站點,我們自己構造一個有跨站漏洞的網頁,然后構造跨站語句,通過結合其它技術,如社會工程研究性論文
學等,欺騙目標服務器的管理員打開.
當找不到目標程序內部跨站漏洞的時候,黑客是可以從外部入手進行XSS攻擊,此時的惡意HTML代碼并沒有寫入到數據庫中,而是作為一個看似正常的鏈接發給受害者,讓其點開,并執行代碼.
四 XSS攻擊的危害
1、針對性掛馬
這類網站一定是游戲網站,銀行網站或者是關于qq、taobao或者影響力相當大的網站,掛馬(網頁木馬)的目的無非是盜號或批量抓肉雞.
2、用
戶權限下操作
這類網站一般有會員,而且這些會員有很多有意義的操作或者有我們需要的內部個人資料,所以我們可以通過XSS對已登錄訪問者進行有權限操作。例如盜取用戶cookies,從而獲取用戶某些信息或者進行權限下的相關操作。
3、Dos攻擊
這同樣需要一個訪問量非常大的站點,我們可以通過訪問此頁的用戶不間斷地攻擊其他站點,或者進行局域網掃描等等.
4、提權
一般這主要發生在論壇或信息管理孕婦可以吃炸雞嗎
系統,總之一定要有管理員了。這需要攻擊者對目標系統相當熟悉,從而知道怎樣構造語句進行提權.
5、實現特殊效果
譬如在百度空間的插入視頻,插入版塊;還一些人在新浪博客實現的特殊效果等等。
五 XS鋼鐵是怎樣煉成的讀后感500字
S攻擊的檢測及簡單利用
1,XSS檢測語句
彈出提示框
)
彈出提示框
彈出用戶COOKIES
在當前頁插入另一站點
2,XSS攻擊的簡單利用
內部跨站:
在有跨站漏洞工作介紹
的頁面直接寫入網頁木馬地址,但凡瀏覽此頁的用戶都有可能中木馬.
DEMO
外部跨站:
在可以外跨站的URL后面跟上網頁木馬地址,之后把這個URL發給對方,騙其點擊,引發中馬.
DEMO
XSS攻擊一般發生在人機互動比較高的程序如:論壇,留言板都比較容易進行XSS攻擊
