每一天都有新发现...

安全性测试-XSS常用的攻击手法

上一篇 / 下一篇  2011-11-19 14:55:45 / 个人分类:安全性测试

查看( 1323 ) / 评论( 0 ) / 评分( 0 / 0 )
  • 1. 依赖跨站漏洞,需要在被攻击网站的页面种入脚本的手法
  •    1.1. Cookie 盗取,通过javascript. 获取被攻击网站种下的cookie,并发送给攻击者。
  •        1.1.1. 从cookie 中提取密码等隐私
  •        1.1.2. 利用cookie 伪造session,发起重放攻击
  •    1.2. Ajex 信息盗取,通过javascript. 发起ajex 请求。
  •        1.2.1. 从ajex 结果中获取隐私。
  •        1.2.2. 模拟用户完成多页表单。
  • 2. 不依赖跨站漏洞的手法
  •    2.1. 单向HTTP 动作,通过img.src 等方法发起跨站访问,冒充被攻击者执行特权操作。
              但是很难拿到服务器的返回值。
  •    2.2. 双向HTTP 动作,如果服务器产生一段动态的script,那么可以用script.src 的方法
              发起跨站访问并拿到服务器的返回值。

收藏 举报

TAG:

 

评分:0

我来说两句

Open Toolbar