|
返回目录 摘自《白帽子讲Web安全》2-2-1.构造GET和POST请求(验证码防范)2-2-2.XSS钓鱼2-2-3.识别用户浏览器:UserAgent2-2-4.识别用户安装的软件:ActiveX,navigator.plugins,chrome://协议2-2-5.CSS History:style的visited属性2-2-6.获取用户真实本地IP位置:AttackAPI攻击框架以下办法能够使得XSS窃取的Cookie失去道理 网站在Set-Cookie时给关键Cookie移植HttpOnly标识网站把Cookie和客户端IP绑定例:IIS给Cookie设置HttpOnly属性,能够经过修改web.config配置文件,添加如下代码:
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.web>
<httpCookies httpOnlyCookies="true" />
</system.web>
</configuration>
攻击者除了Cookie劫持,还会有其他攻击办法
2-2-1.构造GET和POST请求构造GET请求经过插进一张照片发起一个GET请求,诱使作者点击,删除指定的外链论坛:www.fok120.com博客文案
var img=document.createElement("img");
img.src="http://blog.sohu.com/manage/entry.do?m=delete&id=156713012";
document.body.appendChild(img); 构造POST请求豆瓣网站接收Post请求,正常状况下,浏览器发送包如下
攻击者有2种办法模拟Post请求。
办法1:构造form表单
XSS Paylod如下,在代码中构造form表单,并自动提交豆瓣
办法2:经过XMLHttpRequest发送Post请求
| 
发表于 2024-7-12 16:37:24
