双向跨站(Double Trap XSS)注入分析
作者: Aditya K Sood译者:riusksk(泉哥)
漏洞分析
本篇分析介绍了不同领域下的XSS注入攻击,这里没有使用XSS cheatsheat.现在让我们开始详细分析它。本次实例的目标是SecTheory安全咨询站点。这个过程使用了两种不同的方法,这将使一些安全公司受到微创,同时也有利于新的exploitation类型的确立。两者的结果是相同的,只是方式不一样。
黑客们通过寻找安全漏洞并利用它来进行网站攻击。我个人总是习惯使用两种方法来踩点:
1.URL Banging:在URL中注入输入参数。
2. Form Splitting:在form表单中注入伪造的参数。
关键代码:
<INPUT TYPE="TEXT" NAME="login" style="width:300px" MAXLENGTH="100">
<div id="contact" align="right">
Your phone number:
<INPUT TYPE="TEXT" NAME="number" style="width:300px" MAXLENGTH="100">
<div id="contact" align="right">
Your email address:
<INPUT TYPE="TEXT" NAME="email" style="width:300px" MAXLENGTH="100">
。。。。。
注入以下代码
'<script>alert("XSS");</script>'<a href="telnet://203.197.219.33"><h3>TELNET</h3></a>
页:
[1]