2023年3月18日发(作者:minisite)跨站攻击技术
1,Web2.0时代的发展方向
2,Web2.0时代的主流攻击技术-XSS
3,XSS攻击的原理是什么
4,XSS攻击的分类
5专项审计
,利用XSS漏洞能做什么
5,X香港哪里好玩
SS攻击的简单实现
了解We梦见屎是什么意思
b2.0时代
理解XSS攻击的原理
理解XSS的两种攻击方式
了解XSS攻击的危害
掌握如何检测及简单利用XSS漏洞
一 什么是Web2.0
web1.0可理解为目前的互联网,而web2.0则是互联网不久的将来.这里通过一些简单的对比来描述web2.0.
从知识生产的角度看,WEB1.0的任务,是将以前没有放在网上的人类知识,通过商业的力量,放到网上去。WEB2.0的任务是,将这些知识,通过每个用户的浏览求知的力量,协作工作,把知识有机的组织起来
从内容产生者角度看,WEB1.0是商业公司为主体把内容往网上搬,而WEB2.0则是以用户为主,以简便随意方式,通过blog/podcasting方式把新内容往网上搬
从交互性看,WEB1.0是网站对用户为主;WEB2.0是以P2P为主
从技术上看,WEB客户端化,工作效率越来越高。web2.0中的Ajax技术,(是指教师考核评语
一种创建交互式网页应用的网页开发技术,即下一代互联网,全称:异步JavaScript和XML) GoogleMAP/Gmail里面用得出神入化
二 理指望近义词
解XSS攻击的原理
XSS攻击技术是未来的Web2.0主流攻击手段.
XSS(Cross Site Script)的全称是跨站脚本,其基本攻击原理是:用户提交的变量没有经过完整过滤Html字符或者根本就没有经过过滤就放到了数据库中,一个恶意用户提交的Html代码被其他浏览该网站的用户访问,通过这些Html代码也就间接控制了浏览者的浏览器,就可以做很多的事情了如窃取敏感信息,引导访问者的浏览器去访问恶意网站等.
三 XSS攻击的两种方式
1,内跨站(来自自身的攻击)主要指的是利用程序自身的漏洞,构造跨站语句.
具体的数据流程如下:
恶意的Html输入——>web程序——>进入数据库——>web程序——>用户浏览器
2,外跨站(来自外部的攻击),主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点,我们自己构造一个有跨站漏洞的网页,然后构造跨站语句,通过结合其它技术,如社会工程研究性论文
学等,欺骗目标服务器的管理员打开.
当找不到目标程序内部跨站漏洞的时候,黑客是可以从外部入手进行XSS攻击,此时的恶意HTML代码并没有写入到数据库中,而是作为一个看似正常的链接发给受害者,让其点开,并执行代码.
四 XSS攻击的危害
1、针对性挂马
这类网站一定是游戏网站,银行网站或者是关于qq、taobao或者影响力相当大的网站,挂马(网页木马)的目的无非是盗号或批量抓肉鸡.
2、用
户权限下操作
这类网站一般有会员,而且这些会员有很多有意义的操作或者有我们需要的内部个人资料,所以我们可以通过XSS对已登录访问者进行有权限操作。例如盗取用户cookies,从而获取用户某些信息或者进行权限下的相关操作。
3、Dos攻击
这同样需要一个访问量非常大的站点,我们可以通过访问此页的用户不间断地攻击其他站点,或者进行局域网扫描等等.
4、提权
一般这主要发生在论坛或信息管理孕妇可以吃炸鸡吗
系统,总之一定要有管理员了。这需要攻击者对目标系统相当熟悉,从而知道怎样构造语句进行提权.
5、实现特殊效果
譬如在百度空间的插入视频,插入版块;还一些人在新浪博客实现的特殊效果等等。
五 XS钢铁是怎样炼成的读后感500字
S攻击的检测及简单利用
1,XSS检测语句
弹出提示框
)
弹出提示框
弹出用户COOKIES
在当前页插入另一站点
2,XSS攻击的简单利用
内部跨站:
在有跨站漏洞工作介绍
的页面直接写入网页木马地址,但凡浏览此页的用户都有可能中木马.
DEMO
外部跨站:
在可以外跨站的URL后面跟上网页木马地址,之后把这个URL发给对方,骗其点击,引发中马.
DEMO
XSS攻击一般发生在人机互动比较高的程序如:论坛,留言板都比较容易进行XSS攻击
