翻译:keepseo.com
原文:http://xylitol.free.fr
转载请注明
作者博客原地址http://keepseo.com/2009/04/xss-attack-defense-guide.htm在原来又人翻译这篇文章
但是翻译得不是很准确前几天看见有人在黑防上发表这文章篇翻译我也拿出来给大家共享文章目录
XSS攻击和防范指南... 1
第
章、XSS
定义... 1第 2章、XSS漏洞代码... 1
第 3章、利用XSS盗取cookies. 3
第 4章、防范XSS漏洞... 4
第 4章、XSS攻击思路方法... 4
第 6章、利用Flash进行XSS攻击... 6
第 7章、上传文件进行XSS攻击... 7
第 8章、利用XSS漏洞进行钓鱼... 7
第
章、XSS定义从Wikipedia搜索跨站脚本
解释到跨区脚本(Cross-zone Scripting或者Cross Site Scripting)是指浏览器利用浏览器些有漏洞安全解决方案这种攻击使没有权限跨站脚本在未经授权情况下以较高权限去执行脚本执行权限被客户端(Web浏览器)扩大升级了
这些XSS跨站脚本漏洞可能是:
*网页浏览器设计缺陷使得在
定条件下个站点完全信任另外个高权限站点(或者连个高低权限区域)并去执行高权限站点脚本*网页浏览器配置
把不安全网站WebSite放在浏览器高信任列表*信任站点(特权区域)存在跨站脚本漏洞
般跨站脚本攻击包含两个步骤首先是利用跨站脚本漏洞以个特权模式去执行攻击者构造脚本然后利用不安全ActiveXControl控件执行恶意行为通常在安静模式让计算机浏览攻击者指定网页悄悄下载安装各种恶意代码如间谍软件Software、木马软件Software、蠕虫等第 2章、XSS漏洞代码
打开记事本
复制下面代码到几时本中:<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; char
=iso-8859-1" /><style type="text/css">
<!--
body,td,th {
color: #FFFFFF;
}
body {
background-color: #000000;
}
-->
</style><title>Simple XSS vulnerability by Xylitol</title>
<body>
<form action="XSS.php" method="post">
<p align="center"><strong>Simple XSS vulnerability by Xylitol </strong></p>
<div align="center">
<table width="270" border="0">
<tr>
<td width="106"><strong>Search:</strong></td>
<td width="154"><input name="Vulnerability" type="text" id="Vulnerability" /></td>
</tr>
</table>
<table width="268" border="0">
<tr>
<td width="262"><div align="center"&g
最新评论