xss漏洞危害的三个案例:
1.XSS漏洞测试:cookie的窃取和利用
2.XSS漏洞测试:钓鱼攻击
3. XSS漏洞测试:xss获取键盘记录
利用输入恶意的js语句,并且是以get方式提交的,通过这个链接去欺骗用户点击后,
获取cookie,发到攻击者的后台。
2
post型不像get型那样可以直接获取url地址来欺骗用户点击达到欺骗目的,那么怎么办呢?
此时可以自己伪造一个页面,欺骗一些没有安全意识的用户点击后输入账号密码,从而通过表单的形式编写代码提交到攻击者自己搭建的后台。
2.钓鱼网站xss
3.xss键盘记录
记录你键盘输入的东西。
先了解一下什么是跨域
http:// www . xyz.com : 8080 / script/test.js
协议 子域名 主域名 端口 资源地址
当协议、主机(主域名,子域名)、端口中的任意一个不相同时,称为不同域 我们把不同的域之间请求数据的操作,成为跨域操作。
跨域-同源策略
而为了安全考虑,所有的浏览器都约定了“同源策略”,同源策略规定,两个不同域名之间不能使用JS进行相互 操作。
比如:x.com域名下的javascrip并不能操作y.com域下的对象。
如果想要跨域操作,则需要管理员进行特殊的配置。 比如通过:header(“Access-Control-Allow-Origin:x.com”)指定。
Tips: 下面这些标签跨域加载资源(资源类型是有限制的)是不受同源策略限制的。
通过js中的event.keycode记录
同时,开启自己后台的跨域服务。反正都是要攻击别人的,
然后让别人的服务器来开自己的js文件
CSRF
Cross-site request forgery 简称为“CSRF”。
在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接)
然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个 攻击也就完成了。
所以CSRF攻击也被称为为"one click"攻击。
与xss区别:
