分析网上某人xss入侵
2012-12-28 12:13
239 查看
原文:http://weibo.com/1627825392/zbNEZjcL9#1356666273719
看到这个文章,很多人还在那里说好,很有技术含量.很牛B, 这个人不去360,必定会犯罪怎么样怎么样, 我只想说 这个货特么的就是一个装B货, 喜欢显摆技术,一个真正搞渗透测试的人不可能把写个文章还不打码, 这个文章毫无技术含量。只能忽悠外行人,做过开发 看过js代码, 搞安全的人, 那个不知道xss.只能说中国媒体就知道扩大其词。其次他们学校系统很脆弱。
文中他写的xss代码。
插入一张正常的img图片。 get请求一次http://a.xnimg.cn域名下面的gif图片。添加了一个odload事件 图片加载完成之后触发事件, 声明一个s的变量创建一个dom节点其元素是script 将创建的s元素加入到BODY的尾部, 这个节点的请求的路径是http:/www.heyrpgers.com下面的js脚本 js脚本里面的内容就是 document.cookie 虽然没有写出js内容 想也能想到 js获取cookie 之后把cookie发送到执行的地方就OK.
顺序:添加了一个img的图片 图片里向body体添加了一个script节点 这个节点请求地址是一个js代码。js获取cookie 把cookie发送到指定的地方。
分析完毕。
防御办法:使用httponly 或者输入过滤 输出编码。
本文出自 “Sanr” 博客,请务必保留此出处http://0x007.blog.51cto.com/6330498/1102824
看到这个文章,很多人还在那里说好,很有技术含量.很牛B, 这个人不去360,必定会犯罪怎么样怎么样, 我只想说 这个货特么的就是一个装B货, 喜欢显摆技术,一个真正搞渗透测试的人不可能把写个文章还不打码, 这个文章毫无技术含量。只能忽悠外行人,做过开发 看过js代码, 搞安全的人, 那个不知道xss.只能说中国媒体就知道扩大其词。其次他们学校系统很脆弱。
文中他写的xss代码。
插入一张正常的img图片。 get请求一次http://a.xnimg.cn域名下面的gif图片。添加了一个odload事件 图片加载完成之后触发事件, 声明一个s的变量创建一个dom节点其元素是script 将创建的s元素加入到BODY的尾部, 这个节点的请求的路径是http:/www.heyrpgers.com下面的js脚本 js脚本里面的内容就是 document.cookie 虽然没有写出js内容 想也能想到 js获取cookie 之后把cookie发送到执行的地方就OK.
顺序:添加了一个img的图片 图片里向body体添加了一个script节点 这个节点请求地址是一个js代码。js获取cookie 把cookie发送到指定的地方。
分析完毕。
防御办法:使用httponly 或者输入过滤 输出编码。
本文出自 “Sanr” 博客,请务必保留此出处http://0x007.blog.51cto.com/6330498/1102824
相关文章推荐
- 记下servfox中的一些问题及网上分析
- 分析现在互联网上信息可信性的现状
- (转)网上流传的天龙源码框架分析之一 --- 客户端简单介绍
- 02 (maven+SSH)网上商城项目实战之需求分析
- 网上优秀算法分析和实现
- 灵悟礼品网上专卖店——分析类似项目的优缺点
- 内幕!深入分析NSA入侵事件
- (转)网上流传的天龙源码框架分析之一 --- 客户端简单介绍
- linux服务器的入侵分析报告
- 完整XSS wrom入侵流程
- “本命年计划”001—U-boot顶层Makefile的详细分析总结(结合众多网上高手资料)
- 一次服务器被入侵后的分析
- 剖析网站遭遇的三次入侵 分析黑客入侵方法
- Redis CrackIT入侵事件分析
- 关于黑客入侵网络的证据收集与分析
- 仿知乎日报第九篇:为首页以及其他12个页面从网上加载数据分析
- XSS分析及预防
- [通俗易懂又有趣]XSS的原理分析与解剖
- (转)网上几种常见校验码图片分析
- 网上订餐系统需求分析报告