学员渗透录二十七_XSS从初级到高级之中级利用篇


Oct 16 2014

学员渗透录二十七_XSS从初级到高级之中级利用篇

首页 » 学员作品 » 学员渗透录二十七_XSS从初级到高级之中级利用篇   

xss2.gif


学员渗透录二十七_XSS从初级到高级之中级利用篇之点击劫持

继续系列的xss高级攻击系列教程

作者:学员(ant) 编辑 mOon(暗月)
以下由学员 ant 带来的 XSS 高级攻击系列教程,请各位客官慢慢观看!
针对 XSS 漏洞的利用方式有很多, 前面我们介绍了怎么去利用 XSS 盗取用户或管理员的
COOKIE 或 SESSION,那么这次我们来利用 XSS 进行劫持。
一、什么叫点击劫持
点击劫持(clickjacking)是在页面当中插入一段恶意的 JS 代码,当用户在此页面中进行
某个操作(如:点击链接、按钮、图片或是鼠标移动等操作)时,这段代码会被执行,从而
达到攻击者的某种目的
二、点击劫持的利用方式
1、利用 iframe 透明框覆盖劫持
主要是在原页面上增加一个透明的 iframe 页面,这个透明的页面与原页面上的内容进
行组合或重合,从而欺骗用户去点击或输入。
2、利用 iframe 实体框覆盖劫持
渗透暗月暗月欢迎你的加入!
日期:2014-10-16
本文档由暗月博客原创并提供下载观看。 博客 www.moonsec.com 2
主要是在原页面上增加一个实体的 iframe 页面,这个实体页面是从原网页上下载下来
的,我们可以在这个页面中任意添加我们的恶意代码
3、利用 JS 事件劫持
主要利用 JS 代码获取登陆框登陆按钮的节点,然后添加事件,当用户点击登陆时触发
事件。
三、案例:点击劫持与信息收集


详细请下载文档观赏之:

本地:学员渗透录二十七_XSS从初级到高级之中级利用篇.zip

百度网盘:链接:http://pan.baidu.com/s/1o62ZdDg 密码:lq2q


如果您喜欢本博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容:

正文部分到此结束

文章标签: xss利用 xss劫持 xss信息收集

版权声明:若无特殊注明,本文皆为( mOon )原创,转载请保留文章出处。

也许喜欢: «WebCruiser安全检测程序企业版带注册码 | 学员渗透录二十六_XSS从初级到高级之初级利用篇»

你肿么看?

你还可以输入 250/250 个字

 微笑 大笑 拽 大哭 亲亲 流汗 喷血 奸笑 囧 不爽 晕 示爱 害羞 吃惊 惊叹 爱你 吓死了 呵呵

评论信息框

这篇文章还没有收到评论,赶紧来抢沙发吧~