您当前的位置:首页 > 电脑百科 > 安全防护 > 网络安全

网盾IDC:XSS攻击?不是小手手攻击!

时间:2021-01-22 11:21:58  来源:  作者:

什么是XSS跨站攻击

css(Cross Site Script),又叫XSS跨站脚本攻击。它指的是恶意攻击者往Web页面的html代码中插入恶意的ActiveX、HTML、JAVAScript、Flash或VBScript脚本,当用户访问该页之时,嵌入Web里面的代码会被执行,窃取过此用户信息、改变其设置、破坏用户数据,从而达到恶意攻击用户的特殊目的。

XSS在多数情况下对web程序和服务器的运行不会造成影响,但严重威胁了客户端的安全,主要源于服务器对用户提交的数据过滤不完整。

跨站脚本攻击属于被动式的攻击,因为其被动且不好利用,所以许多人常忽略其危害性。现在为了规避风险且节约安全检测成本,一般企业会选择联系具备资质的IDC服务器提供商购买或租用云WAF或高防IP服务,能够从根源上阻拦所有的web攻击(包括XSS跨站脚本攻击)。

尽管XSS劫持是一种不容易被web设计者重视的攻击方式,单XSS代码甚至不符合图灵完备的语言,但因为引发攻击的方式并不困难(不需要依赖JavaScript),攻击者可以利用XSS作为工具记录用户的密码等信息,因此也会被黑客当作攻击方式的选择之一。

传统的XSS跨站利用方式,一般都是由攻击者先构造一个跨站网页,然后在另一空间里放一个收集Cookie的页面,接着结合其它技术让用户打开跨站页面以盗取用户的Cookie,以便进一步的攻击。

对于这种方式而言,即便攻击者收集到了Cookie,也未必能进一步渗透进去,毕竟随着网络安全意识的提高,现在多数的Cookie里面的密码都是经过加密的。如果想要Cookie欺骗的话,同样也要受到其它的条件的限约。比较成熟的方法是通过跨站构造一个表单,表单的内容则为利用程序的备份功能或者加管理员等功能得到一个高权限。

作为一种HTML注入攻击,XSS攻击的核心思想就是在HTML页面中注入恶意代码,而XSS采用的注入方式是非常巧妙的。

XSS攻击一般包括三个核心组成部分:攻击者、目标服务器、受害者浏览器。

在网络安全意识还远远跟不上互联网发展的时代,有些服务器并不要求对用户的输入进行安全方面的验证,这时攻击者就可以很容易地通过正常的输入手段,夹带进一些恶意的HTML脚本代码。当受害者的浏览器访问目标服务器上被注入恶意脚本的页面后,由于它对目标服务器的信任,这段恶意脚本的执行不会受到什么阻碍。而此时,攻击者的目的就已经达到了。

2018年,谷歌安全工程师Ruslan Habalov在其博客上透露,他分别在火狐和Chrome等浏览器上发现了一个可以泄露跨站源框架视觉内容的旁路攻击。发现此攻击的同时还有德国的渗透测试工程师和另一名安全研究员。

该漏洞归因于2016年CSS3 Web标准中引入的名为“mix-blend-mode”的特性,允许Web开发人员将Web组件叠加在一起,并添加控制其交互方式的效果。为展示此漏洞,研究人员造访了一个恶意网站,发现可以利用跨域iframe获取用户的Facebook资料,包括照片和用户名等信息,整个过程不需要与用户有额外的互动。

Habalov 在文中解释称,在启用 “mix-blend-mode” 时,攻击者可以利用 DIV 元素的层叠来覆盖目标对象的浮动框架(iframe),浏览器渲染此一层叠的时间会根据浮动框架内的像素颜色而有所不同,最后在浮动框架中移动该DIV层叠,强迫重新渲染并测量个别的渲染时间,即有可能算出浮动框架的内容。经过测试,大概20秒左右就能拿到用户的ID,5分钟左右就能拿到模糊的个人资料和图片。

据悉,受影响的浏览器主要是火狐和Chrome,IE和Microsoft Edge不受影响是因为它们不支持mix-blend-mode,Safari由于采用的是矢量化的实现方式也不受影响。

XSS攻击样例:

很多登陆界面都有记住用户名、密码的功能,方便用户下次登录,有些网站是直接用明文记录用户名、密码。

攻击者通过账户登陆页面,使用简单工具查看cookie结构名称后,如果网站有xss漏洞,那么简单的利用j5onp就可以获取其它用户的用户名和密码了。

利用几句简单的JavaScript,在用户浏览器执行第三方黑客工程的js文件,获取了cookie中的用户密码并发起一个黑客工程的Http url请求,这样黑客工程就获取了用户的账号密码。

这时,用户自己登录了论坛,而黑客提供了一个被伪装的链接,一旦点击该链接就会在论坛上发起一个Http url请求,即将表单信息进行提交。

或者说,有这么一个登录页面:

一个用户的账号为abc,密码为123,他觉得每次访问还需要输入账号密码是件非常麻烦的事,因此选择了保留。F12可以看到Html页面是这样的:

如果直接在账号栏输入alert("1"),然后输入一个错误的密码,并没有执行script代码,因为返回的html页面是这样的:

上图中那样的script代码是不会执行的,因为在input的value中只有独立的script代码才会执行。所以要想实现script代码的执行,就需要进行拼接,将script代码排到input标签外。

怎么实现呢?

说白了就是自己拼接,将input标签进行闭合,然后将script代码缀在后边,通过用户名的输入,将input拼接成如下,即可实现script代码的执行:

因为此时input已经闭合了,所以script代码会执行,至于拼接后的html文件是有语法错误的问题(因为最后剩下一个"/>,这个html是有错误的,但是不影响页面展示和script代码执行)就可以忽略了

因此,只需要在用户名那里输入abc"/>alert("1"),然后输入一个错误的密码,点击登录,就会执行script代码,弹出弹框。



Tags:XSS攻击   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
什么是XSS跨站攻击CSS(Cross Site Script),又叫XSS跨站脚本攻击。它指的是恶意攻击者往Web页面的HTML代码中插入恶意的ActiveX、HTML、JavaScript、Flash或VBScript脚本,当用户...【详细内容】
2021-01-22  Tags: XSS攻击  点击:(133)  评论:(0)  加入收藏
概述XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人...【详细内容】
2020-10-13  Tags: XSS攻击  点击:(174)  评论:(0)  加入收藏
利用文件上传实现XSS攻击是一个Hacking Web应用的很好机会,特别是无处不在的用户头像上传案例中,这就给予我们很多发现开发者错误的机会。基本的文件上传 XSS 攻击有以下几种...【详细内容】
2020-04-07  Tags: XSS攻击  点击:(367)  评论:(0)  加入收藏
大家上午好,大家经常听到XSS攻击这个词,那么XSS攻击到底是什么,以及如何防御大家清楚么?今天,小墨就给大家讲一下:XSS攻击的定义、类型以及防御方法。 什么是XSS攻击? XSS攻击全称...【详细内容】
2020-01-16  Tags: XSS攻击  点击:(99)  评论:(0)  加入收藏
XSS(cross-site scripting跨域脚本攻击)攻击是最常见的Web攻击,其重点是“跨域”和“客户端执行”。有人将XSS攻击分为三种,分别是:1. Reflected XSS(基于反射的XSS攻击)2. Stored...【详细内容】
2020-01-13  Tags: XSS攻击  点击:(79)  评论:(0)  加入收藏
XSS是一种出现在网页开发过程中的的计算机安全漏洞,而XSS攻击则是指通过利用这些遗留漏洞,将恶意指令代码注入到网页中,使用户加载并执行攻击者恶意制造的网页程序。一般情况下...【详细内容】
2019-12-12  Tags: XSS攻击  点击:(86)  评论:(0)  加入收藏
虽然我们不是在安全公司工作,但喜欢参加Hackerone上的漏洞悬赏项目,喜欢寻找漏洞。而最近发现的漏洞让我感觉javascript代码中的注入漏洞的确会让人防不胜防。我们在目标网站...【详细内容】
2019-10-16  Tags: XSS攻击  点击:(98)  评论:(0)  加入收藏
SQL注入简介SQL 注入漏洞(SQL Injection)是 Web 开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚...【详细内容】
2019-10-14  Tags: XSS攻击  点击:(89)  评论:(0)  加入收藏
文档说明:1.将waf.php传到要包含的文件的目录2.在页面中加入防护,有两种做法,根据情况二选一即可:a).在所需要防护的页面加入代码1require_once('waf.php');就可以做到...【详细内容】
2019-09-26  Tags: XSS攻击  点击:(159)  评论:(0)  加入收藏
▌简易百科推荐
(报告出品方:德勤)数字化转型网络安全及转型挑战在任何行业,保持竞争力都需要快速开发新产品和 服务并推向市场。创新型业务模式不仅仅是简单地将现有 流程数字化,其正在覆盖供应...【详细内容】
2021-12-22  认是    Tags:网络安全   点击:(19)  评论:(0)  加入收藏
10月18号, W3C中网络平台孵化器小组(Web Platform Incubator Community Group)公布了HTML Sanitizer API的规范草案。这份草案用来解决浏览器如何解决XSS攻击问题。 网络安全中...【详细内容】
2021-12-07  实战Java  博客园  Tags:脚本攻击   点击:(18)  评论:(0)  加入收藏
一、背景介绍大家在Linux的日常使用中都晓得如何通过命令行去配置Linux的端口开放规则,但是大家知道如何配置Windows入站出站规则吗?有哪些常见的危险端口呢?如何解决上述问题...【详细内容】
2021-12-01  Kali与编程    Tags:防火墙   点击:(30)  评论:(0)  加入收藏
网络安全服务商Randori公司日前发布了一份调查报告,列出了网络攻击者最有可能攻击或利用的IT资产。在遭遇Solarwinds黑客攻击一周年之际,以及在网络安全(尤其是勒索软件和供应...【详细内容】
2021-10-28  企业网D1net   企鹅号  Tags:网络攻击   点击:(57)  评论:(0)  加入收藏
0x01.背景实验利用Dns Administrators 组成员,通过远程配置Dns服务,进行Dll inject从而实现特权提升。 在域内,Dns server 通常为Dc Server,Dns服务器管理基于rpc,通过调用c:\wi...【详细内容】
2021-10-22  IT影子    Tags:特权提升   点击:(37)  评论:(0)  加入收藏
本文主要介绍和总结了CSRF跨站请求伪造的基本原理和主要防范措施,工作中有用到的朋友不妨收藏转发一下,以备您参考。什么是CSRF?CSRF跨站点请求伪造(Cross—Site Request...【详细内容】
2021-10-13  快乐中恒    Tags:CSRF   点击:(49)  评论:(0)  加入收藏
waf拦截在打某市 Hvv 第一天就找到一个文件上传的点,经过测试,可以直接任意文件上传,没有什么道理。 直接尝试上传 Php 文件,被 waf 拦截了 2021最新整理网络安全/渗透测试/安...【详细内容】
2021-10-11  KaliMa    Tags:防火墙   点击:(56)  评论:(0)  加入收藏
应用程序与文件系统的交互始终是高度安全敏感的,因为较小的功能漏洞很容易成为可利用漏洞的来源。这种观察在web文件管理器的情况下尤其正确,其作用是复制完整文件系统的功能...【详细内容】
2021-09-17  IT野涵    Tags:漏洞链   点击:(56)  评论:(0)  加入收藏
您的苹果手机尽管iPhone比Android更安全,但也可以通过各种方式入侵。避免黑客入侵的最佳方法是警惕奇怪的链接或粗略的应用程序,并仅在必要时提供信息。电池寿命差和性能低下...【详细内容】
2021-09-16  Hackers爱好者    Tags:黑客入侵   点击:(631)  评论:(0)  加入收藏
防火墙一般布置在逻辑区域的入口处,位于三层网络架构的核心和汇聚之间,起到隔离逻辑区域,为逻辑区域创建安全策略的作用。 上面就是应用区的防火墙布置方式,他布置在应用区,可以...【详细内容】
2021-09-03  知来知去    Tags:主备模式防火墙   点击:(109)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条