XSS漏洞危害举例

作者:Tigh     发布于「网络安全」 - 猫雅博客

XSS漏洞危害举例-猫雅博客
标签:
2017-03-17 分类:网络安全 阅读(111) 评论(0) 百度已收录
当前位置:猫雅博客 > 网络安全 > 正文
赞(0) 打赏

作者:Tigh

站长QQ1165500646

手机扫码查看

特别声明:文章多为网络转载,资源使用一般不提供任何帮助,特殊资源除外,如有侵权请联系!

XSS漏洞是什么:

XSS漏洞危害举例

XSS又叫CSS (Cross Site Script) 跨站脚本攻击,XSS是一种经常出现在web应用中的计算机安全漏洞。它指的是恶意攻击者往Web页面里插入恶意html代码(客户端脚本例如JavaScript),而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,脚本就会在用户的浏览器上执行,从而达到恶意的特殊目的。

XSS漏洞危害:

窃取Cookies、蠕虫、钓鱼等等。

XSS漏洞挖掘:

牢记一句老话:一切用户输入的都是不安全的,一切输入都是不可靠的,做好严格过滤!一般网站程序存在输入的地方都是留言板、评论、注册这些等等地方,我这里自己简单的写了个做测试。”guestbook.php”是留言提交表单的代码。 如图所示:

XSS漏洞危害举例

“booklogin.php”是后台处理查看留言的代码如图所示:

XSS漏洞危害举例

环境配置什么的准备工作做好后,现在来打开网站访问留言板guestbook.php程序,先按照正常的格式填写一些你要留言的内容。

XSS漏洞危害举例

假如我们是这网站的管理员,登录后台去查看留言板,可以看见正常的留言内容(这里留言内容没被加入恶意代码)。

XSS漏洞危害举例

现在我们在到内容里插入一些HTML代码或者脚本代码进行测试,比如插入<script> </script> <img> <a> </a>这些等等代码。提交留言后在来一次进行对比,当然这里我要小提示一下,由于这里我使用的是谷歌浏览器,安全当然肯定是比较好的。默认是开启XSS过滤保护机制的,安全相对来说还是可以的。所以为了给大家达到XSS漏洞的演示效果,我换IE浏览器进行测试。

XSS漏洞危害举例

我们在留言内容的地方插入了一句脚本代码, <script>alert(“妹子~哥好爱你”)</script>这段代码如果成功执行会弹出一个消息框。

XSS漏洞危害举例

假如当管理员在后台查进行查看留言内容的时候,就会弹出这么一个框框,可以看见在网页源代码里插入的脚本代码语句被成功的触发,这说明网站在开发的时候并没有对此选项的输入内容进行任何过滤!这样就说明此网站存在XSS漏洞。

XSS漏洞的利用:

我这里就用XSS漏洞结合Windows的MS10-046漏洞来利用演示,MS10-046这个漏洞我们去MSF里调用就可以了,这里我就不细说了。思路是这样的,只要管理员查看了我们的留言内容,内容里的恶意代码就会被执行,触发了XSS漏洞,而这个XSS在触发后又指向MS10-046这个漏洞再次进行攻击,从而达到了直接获取系统的权限


XSS漏洞危害举例

先用MSF来生成MS10-046漏洞的利用方式,给出了漏洞利用链接为http://192.168.1.11:80/。

XSS漏洞危害举例

为了更加达到成功的目的,可以使用一点小技巧话术,比如这里留言内容为如图所示,当后台管理员看见了,一般都经不住好奇心。当点击该链接后,而这个链接指向的是MS10-046漏洞在结合XSS漏洞成功利用,最后在套上HTML里的超链接标签。

XSS漏洞危害举例

如果管理在后台查看留言,并点击该留言里的里的连接后,就会成功被攻击者获取计算机权限。

XSS漏洞危害举例

点击链接后就会出现这样的页面。

XSS漏洞危害举例

在来看看攻击者这边,任意监视受害者的电脑等等行为。所以XSS漏洞相当来说还是很高的,但也有一些条件限制,当然做好网站安全也是一件不可低估的事情。教程就到这了,各位大牛请无视之。

分享到:
未经允许不得转载:

作者:Tigh, 转载或复制请以 超链接形式 并注明出处 猫雅博客
原文地址:《XSS漏洞危害举例》 发布于2017-03-17

评论 抢沙发

1 + 2 =


XSS漏洞危害举例

长按图片转发给朋友

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

这绝对不是广告!

灌水说明

由于评论过多,垃圾评论日益严重,决定开始封禁不正常评论,我分享资源不欠谁,所以对于抱着敷衍不正常的评论者,很抱歉啦,本站不对你开放。

封禁列表
切换注册

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录

Q Q 登 录
微 博 登 录
切换登录

注册