什么是xss钓鱼攻击。
攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号,下面的例子即获取用户账号以及密码的钓鱼攻击。
换句话说当攻击者写入到网页的javascript将basic认证发给用户时,就等于给受害者洒下了‘鱼饵’当用户输入自己的信息时并提交时,‘鱼儿’就咬钩了
basic认证的钓鱼攻击:
在存在xss漏洞的页面去嵌入一个向用户端提交的请求程序(javascript或者是链接请求。)当用户打开了这个链接,就会向后台发送请求,后台会返回一个如上图所示的basic认证的头部。在用户的安全意识不强,为察觉出其中异样的情况下如实输入了自己的用户信息。这时候信息被发送到攻击人员的接受端。
相关的嵌入代码
相关的basic认证提示框代码
xfish原代码
具体内容:通过get()方式