XSS能做些什么
2017-01-19 10:09
176 查看
1、Cookie劫持
利用浏览器插件,可以获取请求中的Cookie信息,从获取到的Cookie信息中,读取用户的私密信息。
2、模拟GET、POST请求操作用户的浏览器。使用JavaScript模拟浏览器发包
“Cookie劫持”失效时,或者目标用户的网络不能访问互联网等情况下,这种方式非常有用
3、XSS钓鱼
利用JavaScript在当前页面“画出”一个伪造的登录框,当用户在登录框中输入用户名与密码后,其密码将被发送到黑客的服务器
4、获取用户浏览器信息
JavaScript脚本通过XSS读取浏览器的UserAgent对象来识别浏览器的版本。alert(navigator.userAgent)
通过JavaScript脚本区分浏览器之间的实现差异
5、识别用户安装的软件
通过查询某些属性是否存在,从而判断是否安装了某个软件或某个插件
6、通过CSS,来发现用户曾经访问过的网站
通过style的visited属性,来判断链接是否被访问
7、劫持浏览器会话,从而执行任意操作,如进行非法转账、强制发表日志、发送电子邮件等
8、强制弹出广告页面,刷流量等
9、进行大量的客户端攻击,如DDoS攻击
10、获取用户电脑的真实IP
XSS攻击框架“AttackAPI”中,有一个获取本地IP的API
利用JAVA获取本地网络信息的API
利用浏览器插件,可以获取请求中的Cookie信息,从获取到的Cookie信息中,读取用户的私密信息。
2、模拟GET、POST请求操作用户的浏览器。使用JavaScript模拟浏览器发包
“Cookie劫持”失效时,或者目标用户的网络不能访问互联网等情况下,这种方式非常有用
3、XSS钓鱼
利用JavaScript在当前页面“画出”一个伪造的登录框,当用户在登录框中输入用户名与密码后,其密码将被发送到黑客的服务器
4、获取用户浏览器信息
JavaScript脚本通过XSS读取浏览器的UserAgent对象来识别浏览器的版本。alert(navigator.userAgent)
通过JavaScript脚本区分浏览器之间的实现差异
5、识别用户安装的软件
通过查询某些属性是否存在,从而判断是否安装了某个软件或某个插件
6、通过CSS,来发现用户曾经访问过的网站
通过style的visited属性,来判断链接是否被访问
7、劫持浏览器会话,从而执行任意操作,如进行非法转账、强制发表日志、发送电子邮件等
8、强制弹出广告页面,刷流量等
9、进行大量的客户端攻击,如DDoS攻击
10、获取用户电脑的真实IP
XSS攻击框架“AttackAPI”中,有一个获取本地IP的API
利用JAVA获取本地网络信息的API
相关文章推荐
- 当你不需要再重复以前工作的时候你该考虑做些什么?
- Javascript入门(可供CSS/JS/XSS初学者参考)
- PHPWind论坛5.3版postupload.php附件文件名跨站脚本漏洞(XSS)
- 一名初级程序员应该做些什么
- PC Camera 开发日志(四)------ 菜鸟眼中安装包要做些什么
- Cross-site scripting (XSS)--转载
- 跨站脚本攻击(XSS)
- 当网络速度变慢的时候,我们都能做些什么。。。
- XSS防范
- 如果没事儿 我应做些什么?
- VBB 3.8.4 XSS
- 从MapGuide Enterprise 2010针对XSS的的安全补丁看.Net 编程的安全性
- 也玩XSS
- Test XSS
- 面对用户反馈的缺陷: 我们能做些什么
- java jvm 参数 -Xms -Xmx -Xmn -Xss 调优总结
- XSS(Cross Site Scripting)测试注意
- xss漏洞测试总结(一)
- 程序员是这样炼成的(10)- 现在我们能做些什么?
- 测试xss如何获得目标机器系统权限