cjh 反射型XSS攻击的实施步骤
反射型XSS攻击的实施步骤
用户正常登陆Web服务器,会得到一个包含session的cookie,现在很多网站会把识别用户身份的session放在cookie内,后续客户的访问携带该session,即可不需要再次登陆。
攻击者通过某种方式让客户打开一个包含攻击信息的页面,比如发送广告邮件。
用户打开该URL之后会发现是Web服务器上的一个正常页面。
但是该正常页面的html标签内包含了JS脚本,通过JS脚本可以读取用户的cookie的值,并发送到攻击者。
JS脚本可能是包含在图片标签内,该JS脚本执行的行为:去第三方站点加载一个图片链接,该链接地址指向攻击者,并在链接后加上类似document.cookie的方法,这样用户执行JS脚本就会向攻击者请求图片并携带Web服务器的cookie。
攻击者收到针对图片的请求,并获取到cookie,响应图片请求之后,用户侧图片正常显示,但是此时cookie已经被传递给了攻击者。
攻击者获取cookie之后,利用其中的session信息,就可以进行会话劫持,仿冒用户登陆站点,并进行后续攻击行为。
1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 反射型XSS攻击的实施步骤
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 反射型XSS攻击的实施步骤
作者: cjh
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm