初识渗透测试—黑客盗号的常用手法XSS攻击简介

Posted 这个软件真厉害

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了初识渗透测试—黑客盗号的常用手法XSS攻击简介相关的知识,希望对你有一定的参考价值。

不知道大家有没有经历过某度某吧和某博曾经大规模的XSS攻击,一些XSS恶意脚本在这些地方疯狂传播,诱导用户点击或者自动发送带病毒私信内容等,造成了不小的影响。

XSS攻击又称跨站脚本攻击,脚本(Script)在我们浏览器客户端被广泛使用,目前大部分网站都使用javascript,用来进行计算和管理Cookie等工作。这些脚本运行在我们本地的客户端上,而不是远程服务器上。也就是运行在我们本地获取的页面中,我们举一个例子:下面的一串代码就是一个html文件里的JavaScript代码。(在javascript中,document.write(),常用来网页向文档中输出内容)

<html>

<head>

</head>

<body>

<script type="text/javascript">

document.write("一方信安");

</script>

</body>

</html>

初识渗透测试—黑客盗号的常用手法XSS攻击简介

JavaScript脚本示例

这个Jsp的脚本代码执行效果跟一个静态HTML页面没有区别,Jsp脚本能够丰富网页内容,提升阅读网页的体验,但是世界上没有绝对安全的系统,漏洞无法避免。XSS攻击,就是一种对输入没有验证的漏洞。成功的XSS攻击,需要两个步骤:

1、攻击者提交的脚本执行语句没有被过滤或者删除

2、Web应用返回的数据没有经过编码

客户端提交的数据本来就是应用所需要的,但是XSS攻击脚本代码利用网站对客户端提交数据的信任,在数据中插入一些符号以及javascript代码,这些代码就会成为原本应用代码的一部分。而攻击者也就可以构造不同的代码,进行恶意攻击,比如获取你带有登陆账号和密码的Cookie。

XSS跨站脚本攻击主要有三种形式

反射式XSS

存储式XSS

基于DOM的XSS

危害:

1、盗取各类用户帐号

2、获取用户数据

3、更广泛的蠕虫传播

4、网站挂马

5、控制受害者机器向其它网站发起攻击


戳下方阅读原文下载资源>>

以上是关于初识渗透测试—黑客盗号的常用手法XSS攻击简介的主要内容,如果未能解决你的问题,请参考以下文章

黑客渗透笔记 跨站脚本攻击xss直接拿后台

渗透测试入门教程(非常详细),从零基础入门到精通,看完这一篇就够了

渗透测试自学系列—黑客常用的端口及攻击方法汇总

黑客常用的十大渗透测试工具

《Web安全渗透全套教程(40集)》学习笔记 | XSS跨站脚本攻击

如何入门渗透测试