XSS攻击实例分析
例1、简单XSS攻击
留言类,简单注入javascript
万能测试XSS漏洞代码:"/></textarea><script>alert(1)</script>
有个表单域:<input type=“text” name=“content” value=“这里是用户填写的数据”>
1、假若用户填写数据为:<script>alert('foolish!')</script>(或者<script type="text/javascript" src="./xss.js"></script>)
2、提交后将会弹出一个foolish警告窗口,接着将数据存入数据库
3、等到别的客户端请求这个留言的时候,将数据取出显示留言时将执行攻击代码,将会显示一个foolish警告窗口。
【将数据改成html标签进行攻击,则会将原本的样式打乱。。。。。。。。】
例2、盗取cookie
1、网站所在域名为www.test88.com、攻击者控制的主机www.linuxtest.com
2、test88.com中的表单,xss.html
3、恶意攻击者插入相应代码
4、数据(攻击代码)插入数据库
5、攻击者控制的主机中设置接收盗取的cookie
开始模拟测试
1、test88.com中设置生成sessionID代码
2、客户端访问上面代码并生成自己的sessionID
3、客户端访问xss.html
#下面为模拟被攻击后取出数据的xss.html代码(显示数据)