1、Cookie劫持
- 利用浏览器插件,可以获取请求中的Cookie信息,从获取到的Cookie信息中,读取用户的私密信息。
2、模拟GET、POST请求操作用户的浏览器。使用JavaScript模拟浏览器发包
- “Cookie劫持”失效时,或者目标用户的网络不能访问互联网等情况下,这种方式非常有用
3、XSS钓鱼
- 利用JavaScript在当前页面“画出”一个伪造的登录框,当用户在登录框中输入用户名与密码后,其密码将被发送到黑客的服务器
4、获取用户浏览器信息
- JavaScript脚本通过XSS读取浏览器的UserAgent对象来识别浏览器的版本。alert(navigator.userAgent)
- 通过JavaScript脚本区分浏览器之间的实现差异
5、识别用户安装的软件
- 通过查询某些属性是否存在,从而判断是否安装了某个软件或某个插件
6、通过CSS,来发现用户曾经访问过的网站
- 通过style的visited属性,来判断链接是否被访问
7、劫持浏览器会话,从而执行任意操作,如进行非法转账、强制发表日志、发送电子邮件等
8、强制弹出广告页面,刷流量等
9、进行大量的客户端攻击,如DDoS攻击
10、获取用户电脑的真实IP
- XSS攻击框架“AttackAPI”中,有一个获取本地IP的API
- 利用JAVA获取本地网络信息的API
扫一扫
1177
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
