XSS——XSS Worm

最新推荐文章于 2022-06-05 21:55:00 发布
最新推荐文章于 2022-06-05 21:55:00 发布
阅读量1.6k 收藏 1
点赞数
本文为博主原创文章,未经博主允许不得转载,未授权转载为侵权行为,违反法律。
本文链接:https://blog.csdn.net/qq_36869808/article/details/82803855
版权

0x00 前言

之前也从来没有学习到类似的东西,xss蠕虫,以前只是听说过,没想到是xss的蠕虫,还是长见识了。破万卷书,作用还是很明显的。

0x01 学习笔记

1.第一个web2.0蠕虫病毒

2005年10月4日,第一个web2.0 蠕虫诞生了,在国外的社交网络MySpace上写了一段Javascript蠕虫代码。

2.实质

蠕虫的实质就是一段脚本程序,通常用JavaScript或者VBScript。在用户浏览xss页面时被集火。

3.攻击原理

  • 攻击者发现目标网站存在xss漏洞,并且编写xss蠕虫
  • 利用一个宿主,作为传播源头进行xss攻击
  • 当其他用户访问被感染的空间时,xss蠕虫就会判断用户是否登录,是否被感染。

4. XSS Worm 构建过程

  1. 寻找XSS点
  2. 实现蠕虫行为
  3. 收集蠕虫数据
  4. 传播与感染
王嘟嘟_
关注
7. xss蠕虫
HWHXY的博客
01-17 1094
layout: post title: 7. xss蠕虫 category: SRC tags: SRC keywords: SRC,XSS 前言 该篇记录为记录实际的src过程第7篇小文章,内容为某网站的xss蠕虫。 XSS特征 触发点惊奇的出现在发送文章中,插入图片的地方可以执行js,由于是发布文章(真的没有想到现在还能这种洞,所以说不能自以为然),所以可以造成蠕虫。如下漏洞和代码都是队友林百万 所为,之前没有用过,特此记录一下。可蠕虫的存储型xss,属于高危害。 蠕虫代码 可以直接插入<scr.
网络攻防技术——XSS实验
学习记录
02-27 3418
一、题目 跨站点脚本(XSS)是一种常见于web应用程序中的计算机安全漏洞。此漏洞使攻击者有可能将恶意代码(如JavaScripts)注入受害者的web浏览器。 为了演示攻击者可以做什么,我们在预先构建的Ubuntu VM映像中设置了一个名为Elgg的web应用程序。我们已经注释掉了Elgg的一些保护方法,故意使其容易受到XSS攻击。学生们需要利用这些漏洞发动攻击,就像Samy Kamkar在2005年通过臭名昭著的Samy蠕虫对MySpace所做的那样。此攻击的最终目标是在用户之间传播XSS蠕虫,这样无论
Search Engine XSS Worm
TOMMY201112的博客
08-14 161
作者:余弦 来源:0x37 Security 有挑战才有意思,为了诞生个Search Engine XSS Worm,这里拿yeeyan做实验了。译言http://www.yeeyan.com/是一个“发现、翻译、阅读中文之外的互联网精华”的web2.0网站,过滤系统真BT,不过其搜索引擎存在跨站,它的搜索引擎也真够BT,转义单引号、双引号,并且当搜索值含英文冒号:时就不返回搜索...
一只XSS蠕虫的实现
0ffs3t
03-08 3963
Author: kunting520 EMail: kunting520@gmail.com Date: 2011-06-20 [ 目录 ] 0×-1 声明 0×00 前言 0×01 关于XSS 0×02 发现XSS 0×03 蠕虫实现 0×04 总结 0×-1 声明 前两天,在土司上发一帖子(http://t00ls.net/thread-16240-1-2
百度XSS Worm 分析
Killua
03-30 1746
1.expressioncss expression(css表达式)可以在CSS中定义表达式(公式)来达到建立元素间属性之间的联系等作用,从IE5开始支持,最后因为标准、性能、安全性等问题,微软从IE8 beta2 开始取消对 CSS expression的支持。也就是说可以在css代码后面插入一段js代码,css的属性值为其后的js代码计算出来的值。这样就带来了安全隐患,可以在css中插入恶意j...
XSS WORM的分析
Killua
03-27 818
Token的作用1.防止表单重复提交2.用来作身份验证两者在原理上都是通过session token来实现的。当客户端请求页面时,服务器会生成一个随机数Token,并且将Token放置到session当中,然后将Token发给客户端(一般通过构造hidden表单)。下次客户端提交请求时,Token会随着表单一起提交到服务器端。然后,如果应用于“anti csrf攻击”,则服务器端会对Token值进...
WEB漏洞篇——跨站脚本攻击(XSS
m0_56634355的博客
06-05 4737
目录一、XSS简述1.1 什么是XSS1.2 XSS分类1.3 DOM XSS漏洞演示二、XSS攻击进阶2.1 初探XSS Payload2.2 强大的XSS Payload2.3 XSS攻击平台2.4 XSS Worm2.5 XSS构造技巧2.6 反射型XSS利用技巧-回旋镖2.7 Flash XSS2.8 JavaScript开放框架三、XSS防御3.1 HttpOnly3.2 输入检查3.3 输出检查3.4 正确地防御XSS3.5 处理富文本3.6 防御DOM Based XSS四、总结XSS攻击是指
XSS跨站脚本攻击剖析与防御.pdf
05-16
第5章 XSS Worm,讲解了Web 2.0的最大威胁——跨站脚本蠕虫,剖析了Web 2.0相关概念和其核心技术,这些知识对于理解和预防XSS Worm十分重要。第6章 Flash应用安全,就当前的Flash应用安全做出了深入阐述。第7章 深入...
【网络攻防技术】实验七—— XSS攻击实验(Elgg)
qq_45755706的博客
03-01 7607
文章目录一、实验题目二、实验步骤及结果配置相关环境Task1: Posting a Malicious Message to Display an Alert WindowTask 2: Posting a Malicious Message to Display CookiesTask 3: Stealing Cookies from the Victim’s MachineTask 4: Becoming the Victim’s FriendTask 5: Modifying the Victim’s
白帽子阅读笔记——XSS
gam0n的博客
08-29 333
XSS跨站脚本攻击有三种类型: 1.反射型XSS:反射型XSS只是简单把用户输入的数据“反射”给浏览器,也就是说,黑客需要诱使用户“点击”一个恶意链接,才能攻击成功。反射型XSS也叫做“非持久型XSS”(Non-persistent XSS) 2.存储型XSS,存储型XSS会把用户输入的数据“存储”在服务器端。这种XSS具有很强的稳定性; 如:黑客写下一篇包含恶意JavaScript代码的博...
XSS蠕虫&病毒--即将发生的威胁与最好的防御
05-28
XSS蠕虫&病毒--即将发生的威胁与最好的防御
XSS蠕虫攻击
iteye_4538的博客
09-22 1275
XSS (cross-site scripting),即跨站脚本攻击,它的本质还是一种“HTML注入”,用户的数据被当成了HTML代码一部分来执行,从而混淆了原本的语义,产生了新的语义。 来看一张某网站遭受XSS攻击后的图片, [img]http://dl2.iteye.com/upload/attachment/0101/3717/a83f235a-329f-30b0-9f85-3aa7...
first xss worm
u012795264的博客
07-02 552
<div id=mycode style="BACKGROUND:url('java script:eval(document.all.mycode.expr)')"expr="var B=String.fromCharCode(34);varA=String.fromCharCode(39);function g(){varC;try{varD=document.body.createTextR
xss漏洞之——XSS蠕虫、DDOS攻击
wsnbbz的博客
03-04 2155
介绍 通过构造的 XSS 代码,通过精心构造的 XSS 代码,可以实现非法转账、篡改信息、删除文章、自我复制等诸多功能。 此处以更改密码为例 代码: <img hidden src='http://localhost/DVWA-master/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Chang...
XSS学习笔记(六)-XSS蠕虫
byteway的专栏
04-28 4844
3.XSS蠕虫 对于XSS蠕虫,无非就是在客户端提交的时候绕过过滤和转义,可以在继续在浏览器端执行的js 等代码,这里提供几种加密方式: 原型:alert(XSS) URL Encode: 大小写(所谓URL编码就是:把所有非字母数字字符都将被替换成百分号(%)后跟两位十六进制数,空格则编码为加号(+)) %3cscript%3ealert('XSS')%3c/script
校内网--自动分享视频-flash xss蠕虫分析
wangqiuyun的专栏
08-22 2279
晚上很晚~11点半才回来,洗漱完毕都12点多了,本来想关电脑就睡觉,谁知道校内还在挂着,习惯性刷新了一下,呵,好几个哥们的状态都是校内有毒,千万别打开个什么视频分享贴,嘿,早就听所校内BUG多,这回我倒要亲自看看了,点开站内信,果然一位好友个我分享了一个视频: Wish You Were Here @ 2016. Pink Floyd - Wish You Were Here http://
mysql蠕虫攻击_XSS蠕虫攻击案例学习
weixin_42721619的博客
02-19 359
(1)看了下网站基于jQuery,那构造一个xssworm就简单很多(没有也无所谓,我们自己加载进去也可以的)​(2)我们来看看发帖的post动作,我们有burp截取一段数据包看看POST /info/UserInfo/modifyInfo HTTP/1.1Host: swust.0xiao.com......Cookie: no'info_sort_id=178&title=全新红米NO...
Samy XSS Worm 分析
1ame的博客
07-22 1945
Samy Worm MySpace.com允许用户通过控制标签的style属性,samy构造css xss。 MySpace过滤了很多关键字,利用拆分法绕过。 div标签如下: <div id = mycode style="BACKGROUND: url('javascript:eval(document.all.mycode.expr)')" expr=" "> 其中e
xss攻击之新浪微博xss蠕虫
zhangzhangdan的博客
07-21 2611
xss蠕虫:通过一个bug,感染其他结构都出现问题 我们根据一段xss攻击链接来看一下: 很显然,javascript代码被解析了,那它原型是什么呢,怎么看  通过这样我们可以看出,这段javascript代码是指向一个js文件,js文件中写的是一些文章标题链接,而这段链接也是携带这段javascript代码,这样当有人点击了这段链接,就又执行这个xss攻击操作了,这样一传十,十传百...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王嘟嘟_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值