还自动关注一位名为hellosamy的用户2018/9/29网页登录页面代码

2018-09-29 16:21:00
jingcaiadmin
原创
16

  相信以上的解释也不难理解,但为了再具体些,这里举一个简单的例子,就是留言板。我们知道留言板通常的任务就是把用户留言的内容展示出来。正常情况下,用户的留言都是正常的语言文字,留言板显示的内容也就没毛病。然而这个时候如果有人不按套路出牌,在留言内容中丢进去一行:

  打开登录界面,调出火狐的firebug插件,调至cookie选项卡(注意,如果你的firebug插件没有cookie选项卡,请再安装firecookie插件即可看到)

  现此漏洞已被修补,据消息称Augur漏洞是一个典型的前端黑攻击,这种攻击依赖一些条件,比如攻击者需要准备好一个页面链接(不是 Augur 链接),并无论通过什么手法能让安装了Augur的用户访问到,然后用户需要重启Augur应用,这样才能形成后续的攻击。由于此时Augur应用里配置的 Augur节点地址被替换了,后续的攻击本质就是一种MITM中间人)攻击,理论上确实可以做很多恶事。

  有人会问,这不是引用脚本吗?其实不然,本质上这还是发起了一起get请求,因此可以直接使用。与上例一样,插入到message中,再坐等上钩。等下一个用户访问该界面时,密码就会被改为123456了。

  发现最大长度有限制,但这仅仅是前端的限制,直接双击修改成更大的数字即可。再次尝试,没问题,我们已经将脚本植入完毕。

  完成之后再次刷新页面,发现已经不是之前的登录界面了,而是登录后的界面。至此,一个从cookie窃取到利用的过程就已完成。

  先简单解释以下csrf攻击。Csrf攻击就是在未经你许可的情况下用你的名义发送恶意请求(比如修改密码,银行转账等),下面演示一个用xss配合csrf修改用户密码的例子。

  那么所访问的网站就会被跳转到百度的首页。XSS相关的恶意代码传播、大范围用户信息窃取及基于XSS的DDoS攻击等。

  这里注意要把我箭头所指的地方勾上,这是设置cookie有效期的地方,不然会在设置完下一秒cookie就失效。

  近日, 一名白帽黑客发现了分散预测市场Augur的一个重要漏洞,黑客可据此向用户发送虚假信息并控制系统。虽然Augur的核心功能是预测市场情况,允许用户进行市场预判,所有的数据由分散式的以太坊区块链保护,UI配置文件存储用户信息的到本地计算机。但是Augur应用程序上的所有内容,包括交易数据、钱包地址和市场行情,目前都处于被黑客篡改的风险下。据悉,用户一旦访问来自Augur的链接,其以太坊地址等关键信息将被黑客截取。

  因为有说明Augur漏洞是一个典型的前端黑攻击。随着互联网的不断发展,web应用的互动性也越来越强。但正如一个硬币会有两面一样,在用户体验提升的同时安全风险也会跟着有所增加。现在,我们就来讲一讲web渗透中常见的一种攻击方式:XSS攻击。

  发现没有对原密码进行校验。于是一股的力量油然而生:要是在xss的恶意脚本中自动提交get请求修改密码的话。。

  这时,另一个用户gordonb登录并访问了留言界面,那么他的cookie就会被窃取。我们可以从xss平台的后台获取到。

  早在2011年新浪就曾爆出过严重的xss漏洞,导致大量用户自动关注某个微博号并自动转发某条微博。还自动关注一位名为hellosamy的用户。

  在用户浏览器执行了hack。js,获取了用户密码,并发起一个黑客工程的http url请求,这样黑客工程就拿到了用户的账号和密码。就这样,用户名和密码就泄露了。

  当然这个示例很简单,尽管一个信息框突然弹出来并不怎么友好,但也不至于会造成什么真实伤害。几乎攻击不到任何网站。但我们知道很多登陆界面都有记住用户名、密码的功能方便用户下次登录,有些网站是直接用明文记录用户名、密码,恶意用户注册账户登录后使用简单工具查看cookie结构名称后,如果网站有xss漏洞,那么简单的利用jsonp就可以获取用户的用户名、密码了。

  那么这个时候问题就来了,当浏览器解析到用户输入的代码那一行时会发生什么呢?答案很显然,浏览器并不知道这些代码改变了原本程序的意图,会照做弹出一个信息框。就像这样:

文章分类
联系我们
联系人: 皇冠登陆
微信: 皇冠app
地址: 皇冠登入网址