XSS漏洞利用方式汇总
| 类别 | 目的 | 实操 |
| 窃取Cookie | 通过XSS攻击,窃取其他账户的Cookie信息从而进行未授权非法操作。 | 搭建xss平台并获取Cookie,使用一个XSS平台来接收Cookie,注册测试账号后创建项目,复制payload并在存在XSS的地方输入,提交后即可在解cookie平台获取到当前账户的cookie和真实IP。 |
| 广告传播/SEO优化/刷取流量 | 通过恶意的JS代码将正常页面跳转到目的页面,利用网站进行重定向实现其引流、广告位传播等目的。 | 恶意刷取访问量:网页直接跳转或延迟跳转。。恶意广告展示:通过导入外链的方式对受害站点插入广告位。 |
| 网页挂马/权限提升 | 通过木马服务器(如kali)搭建生成一个恶意URL地址,并通过存储型XSS挂到页面中,只要存在未打相应补丁的用户访问了挂马页面,恶意攻击者便获取到了受害者的控制权限。 | 生成木马URL:启动Metasploit,调用缓冲区溢出漏洞MS14-064,设置木马服务器IP和监听端口,执行攻击自动生成攻击地址。XSS插入地址:通过存储型xss将木马服务器生成的地址插入到网站中。 |
XSS漏洞利用案例
(图片来源网络,侵删)
| 案例名称 | 描述 | 危害 |
| 利用XSS+CSRF增加网站管理员 | 该网站对管理员帐号编辑的地方没有进行二次校验或确认,存在CSRF漏洞,通过注册新用户或暴力破解等方式登入网站后台,权限不为admin,用于审计网站后台结构,在留言板发送给管理员的XSS脚本被查看后,服务器跳转界面执行指令,成功增加新的管理员账号。 | 获取网站管理员权限,可能进一步控制整个网站。 |
| CMS管理后台伪造钓鱼网站 | 在管理系统的登录界面输入特殊代码,构造闭合标签使XSS代码能够实现,当管理员查看留言板之后,服务器会跳转界面执行指令,跳转到伪造的忘记密码页面,修改管理员联系电话。 | 篡改网站信息,可能进一步实施钓鱼攻击。 |
| 网页留言板获取cookie | 在一个文章管理系统的留言板存在存储型XSS注入漏洞,当管理员打开留言板信息查看时,触发其中的XSS代码,攻击者获取管理员cookie信息,可以用来做固定session会话攻击登陆后台。 | 窃取管理员cookie,可能进一步控制后台系统。 |
仅供学习了解XSS漏洞利用方式,切勿用于非法用途,在进行任何安全测试时,请确保已获得相关授权。
以上内容就是解答有关xss漏洞利用的详细内容了,我相信这篇文章可以为您解决一些疑惑,有任何问题欢迎留言反馈,谢谢阅读。
(图片来源网络,侵删)
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/67175.html
