摘要:之前就对有所耳闻,不过昨天在学习深入浅出过程中,才深入了解到攻击的原理,于是找到那本很早就想看的前端黑客技术解密,找到跨站攻击脚本章节,于是有了下面这个简单的攻击实验。
之前就对XSS有所耳闻,不过昨天在学习《深入浅出nodejs》过程中,才深入了解到XSS攻击的原理,于是找到那本很早就想看的《web前端黑客技术解密》,找到 跨站攻击脚本XSS 章节,于是有了下面这个简单的XSS攻击实验。
XSSdemo
关键代码:eval(location.hash.substr(1))
alert("你的网站被XSS攻击了!")
关键代码:alert("你的网站被XSS攻击了!")
Cookie被经常当作输入点,可以使用escape(document.cookie)来获取用户Cookie中保存的敏感信息,例如电话号码,密码等等。
待访问文件xss.html的url上加上hash值。
#document.write("")
例如:
file:///C:/Users/jack/Desktop/XSSdemo/index.html#document.write("")
在Chrome中输入
file:///C:/Users/jack/Desktop/XSSdemo/index.html#document.write(
为什么会被拦截?
因为Chrome 的filter防御机制会导致这个无法成功,其它浏览器可以被攻击。那么如何攻击FireFox呢?
(浏览器版本为Firefox 57.0 Quantum版)
需要对原始攻击代码做下简单调整。
eval(decodeURI(location.hash.substr(1)))
相应的访问链接也更改为file:///C:/Users/jack/Desktop/XSSdemo/index.html#document.write(")XSS攻击FireFox成功!
可以看到,XSS脚本被成功写入到index.htmlIE可以被攻击吗?
(浏览器版本为IE11.726.15063.0 )
XSS攻击IE11成功!攻击了这么久,难道我是要去绿,哦不,黑别人吗?
NoNoNo,我是为了让自己的网站更加安全。之前有了解到javascript的eval()会有安全问题,通过今天的例子,才明白eval()原来会帮助 XSS攻击输入点代码进行攻击,例如:
本例中的输入点为location.hash.substr(1),其值为"document.write(")")简单来说,eval()会执行XSS跨站攻击脚本,前端工程师在开发过程中要注意eval()使用存在的安全隐患。
对于浏览器喜爱程度,我想Chrome在防御XSS攻击方面又为自己加了不少分,以后强推Chrome又多了一个理由。
其实关于XSS攻击还有很多学问在其中,我所了解到的只是冰山一角,后续再继续探索!
That"s it !
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/11295.html
摘要:之前就对有所耳闻,不过昨天在学习深入浅出过程中,才深入了解到攻击的原理,于是找到那本很早就想看的前端黑客技术解密,找到跨站攻击脚本章节,于是有了下面这个简单的攻击实验。 之前就对XSS有所耳闻,不过昨天在学习《深入浅出nodejs》过程中,才深入了解到XSS攻击的原理,于是找到那本很早就想看的《web前端黑客技术解密》,找到 跨站攻击脚本XSS 章节,于是有了下面这个简单的XSS攻击实...
摘要:为了加深自己对攻击的理解,特意尝试了一下,并把整个过程记录下来。因为标签有问题,在后台返回来的标签在是存在的,但是并没有执行还请各位大佬多多指正 XSS:跨站脚本(Cross-site scripting) 攻击手段和目的: 攻击者使被攻击者在浏览器中执行脚本后,如果需要收集来自被攻击者的数据(如cookie或其他敏感信息),可以自行架设一个网站,让被攻击者通过JavaScript...
摘要:示例攻击如何进行下图展示了攻击者如何进行攻击攻击者利用网站的表单插入恶意字符串到网站数据库中。恰恰相反,至少有两种常见的方式,会导致受害者发起针对自己的反射型攻击。攻击者精心构造了一个包含恶意字符串的,将其发送给受害者。 原文地址:http://excess-xss.com/。如有翻译不当之处,欢迎指出 :D 分为四部分: 概述 XSS 攻击 XSS 防御 总结 第一部分:概述 X...
阅读 3057·2021-11-16 11:45
阅读 3577·2021-09-29 09:34
阅读 701·2021-08-16 10:50
阅读 1567·2019-08-30 15:52
阅读 1961·2019-08-30 15:45
阅读 858·2019-08-29 15:23
阅读 1922·2019-08-26 13:51
阅读 3298·2019-08-26 12:23