yii2 安全篇系列教程(一)—— XSS

2016-08-30 鲁鲁槟 收藏

XSS(Cross Site Scripting 跨站脚本攻击,至于为何不是 CSS,你懂的)

一、完成一次 XSS 攻击

创建文章时,文章内容包含 <script>alert('hello world')</script>,保存文章。当其他人访问时,会弹出 hello world 对话框,这就完成了一次简单的 XSS 攻击。

什么是 XSS:允许用户将代码植入到提供给用户的页面中,从而对其他用户进行攻击。

二、XSS 攻击案例

2.1、盗取用户账号

① 盗号原理

删除浏览器关于本网站的 cookie,刷新页面,神奇的事情将会发生。

刷新页面,你会发现已经登出!

重新登录,复制记住我的 cookie 到其他浏览器,刷新页面,神奇的事情将会发生了。

刷新页面,你会发现你在其他浏览器也已经登录!

② httponly

2.2、非法转账

打开支付宝的转账页面,按下图操作

你想注入到支付宝,应该是不大可能的,毕竟支付宝的员工也不是吃软饭的。

三、XSS 之反射型:url 中有 JS 代码

3.1、小案例

3.2、支付宝转账

问题:%26quot;;alert(3);// 真的有用吗?

暂时还没有评论,快来抢沙发吧~

发表评论

您需要登录后才可以评论。登录 | 立即注册
阅读 957