成人国产在线小视频_日韩寡妇人妻调教在线播放_色成人www永久在线观看_2018国产精品久久_亚洲欧美高清在线30p_亚洲少妇综合一区_黄色在线播放国产_亚洲另类技巧小说校园_国产主播xx日韩_a级毛片在线免费

資訊專欄INFORMATION COLUMN

記一次原生JS實現XSS攻擊案例

TesterHome / 2871人閱讀

摘要:為了加深自己對攻擊的理解,特意嘗試了一下,并把整個過程記錄下來。因為標簽有問題,在后臺返回來的標簽在是存在的,但是并沒有執(zhí)行還請各位大佬多多指正

XSS:跨站腳本(Cross-site scripting 
攻擊手段和目的: 
攻擊者使被攻擊者在瀏覽器中執(zhí)行腳本后,如果需要收集來自被攻擊者的數據(如cookie或其他敏感信息),可以自行架設一個網站,讓被攻擊者通過JavaScript等方式把收集好的數據作為參數提交,隨后以數據庫等形式記錄在攻擊者自己的服務器上。

為了加深自己對XSS攻擊的理解,特意嘗試了一下,并把整個過程記錄下來。

攻擊過程:
①、客戶端收集用戶數據(如留言、發(fā)布文章功能)
②、攻擊者將留言內容寫入了可執(zhí)行的JavaScript代碼
③、將上面的數據未經處理直接存入數據庫
④、其他用戶查看該網站,看了上面包含了可執(zhí)行的JavaScript代碼的文章和評論
⑤、其他用戶就會在瀏覽器客戶端執(zhí)行攻擊者注入的JavaScript代碼

本次試驗用到如下技術:
①、(客戶端)原生Ajax請求
②、(服務端)thinkphp,為了試驗方便,不使用數據庫,直接返回數據
③、 Cors跨域

原生Ajax請求 


 
    
    XSS測試

在這里我使用的是get請求
其中請求地址http://vueapp.com 是我自定義的地址,使用Apache配置

由于這里涉及到跨域問題(出于瀏覽器安全的同源策略,協議、域名、端口號任一不同都屬于跨域)

Failed to load http://vueapp.com/: No "Access-Control-Allow-Origin" header is present on the requested resource. Origin "null" is therefore not allowed access.

我的解決方法是CORS
在后端的接口中添加這么一行代碼

header("Access-Control-Allow-Origin:*");  // 允許所有訪問源

返回的數據是:

$this->ajaxReturn(array("status" => 0,"info" => ""));

這里我們利用img標簽的onerrer屬性來執(zhí)行JS代碼,所以src屬性填一個訪問不了就可以觸發(fā)onerrer了

開始測試

點擊 XSS測試 按鈕,結果如圖(谷歌瀏覽器):

這就是一個最最最簡單的XSS攻擊案例

這次我們去一個網站盜用cookie

可以看到所有的cookie信息都在這里了

*發(fā)現的問題 
為什么我不直接用script標簽,而用img的onerror屬性。
因為script標簽有問題,在后臺返回來的script標簽在dom是存在的,但是并沒有執(zhí)行 
還請各位大佬多多指正

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規(guī)行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://systransis.cn/yun/101135.html

相關文章

  • 一次簡單的DOM XSS攻擊實驗

    摘要:之前就對有所耳聞,不過昨天在學習深入淺出過程中,才深入了解到攻擊的原理,于是找到那本很早就想看的前端黑客技術解密,找到跨站攻擊腳本章節(jié),于是有了下面這個簡單的攻擊實驗。 之前就對XSS有所耳聞,不過昨天在學習《深入淺出nodejs》過程中,才深入了解到XSS攻擊的原理,于是找到那本很早就想看的《web前端黑客技術解密》,找到 跨站攻擊腳本XSS 章節(jié),于是有了下面這個簡單的XSS攻擊實...

    joy968 評論0 收藏0

  • 一次簡單的DOM XSS攻擊實驗

    摘要:之前就對有所耳聞,不過昨天在學習深入淺出過程中,才深入了解到攻擊的原理,于是找到那本很早就想看的前端黑客技術解密,找到跨站攻擊腳本章節(jié),于是有了下面這個簡單的攻擊實驗。 之前就對XSS有所耳聞,不過昨天在學習《深入淺出nodejs》過程中,才深入了解到XSS攻擊的原理,于是找到那本很早就想看的《web前端黑客技術解密》,找到 跨站攻擊腳本XSS 章節(jié),于是有了下面這個簡單的XSS攻擊實...

    高璐 評論0 收藏0

  • 前端安全知識

    摘要:跨站腳本攻擊可能造成以下影響利用虛假輸入表單騙取用戶個人信息。不僅僅是前端負責,后端也要做相同的過濾檢查。張三登錄了銀行的網站沒有退出,訪問了黑客王五的網站,上述的就會向銀行發(fā)起請求。 原文連接 https://jkchao.cn/article/59d... XSS xss: 跨站腳本攻擊(Cross Site Scripting)是最常見和基本的攻擊 WEB 網站方法,攻擊者通過...

    Fundebug 評論0 收藏0

  • XSS攻擊原理分析與防御技術

    摘要:跨站腳本攻擊,縮寫為。這就是攻擊最簡單的一個案例。漏洞產生的原因是攻擊者注入的數據反映在響應中。而且富文本攻擊的防御相對比較麻煩。默認配置下不允許執(zhí)行內聯代碼塊內容,內聯事件,內聯樣式,以及禁止執(zhí)行和。 跨站腳本攻擊(Cross Site Scripting),縮寫為XSS。惡意攻擊者往Web頁面里插入惡意javaScript代碼,當用戶瀏覽該頁之時,嵌入其中Web里面的javaScr...

    garfileo 評論0 收藏0

發(fā)表評論

0條評論

TesterHome

|高級講師

TA的文章

閱讀更多
最新活動
閱讀需要支付1元查看
<