爪哇针注射测试。

XSS是一种攻击,允许您注入并执行恶意HTML 或 JavaScript。 这可用于从 Cookie 中窃取关键数据(例如会话数据)。 由于代码是在易受攻击的应用程序上下文中执行的,因此允许您执行其他攻击,如网络钓鱼、键盘登录或将用户重定向到恶意网站。 在"存储跨站点脚本"的情况下,注入的代码被永久放置在应用程序中,这使得它比"反射跨站点脚本"更危险,攻击者必须向受害者发送一个专门准备的链接。


所研究的一个应用程序确定了许多易于 javascript 注射的参数。 以下是请求的摘录,恶意代码标记为红色。 它执行显示 警报通知的操作,并且仅针对可能进行此类攻击的文档。 在真正的黑客攻击期间, 通常使用 XSS 会窃取会话蛋糕。


请求的一部分,恶意代码标记为红色


在下图中,您可以通过显示 警报通知的操作在受害者的浏览器中看到恶意代码的执行。


通过显示警报通知的操作在受害者浏览器中执行恶意代码

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Bookmark the permalink.

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注