| |
向联系人发送消息
添加/删除联系人
在一个基于 Web 的网络银行或金融系统中,攻击者能够:
划拔资金
申请信用卡
更改地址
在电子商务系统上,攻击者能够:
购买商品
每当分析XSS对站点的影响时,想一想如果他控制了受害者的鼠标和键盘能干什么就行了。考虑一下受害者的内部网中的受害者的计算机能做哪些坏事。要想假冒成用户,攻击者需要弄清Web应用程序是如何工作的。有时候,可以通过阅读页面源代码来达此目的,但是最好的方法是使用一个Web代理,例如Burp Suite、WebScarab或者Paros Proxy等。
这些web 代理会拦截往返于Web 浏览器和Web服务器之间的所有通信数据,甚至包括通过HTTPS传输的流量。您可以记录这些会话以弄明白Web应用程序是向服务器发送回数据的。 这对于弄清楚如何假冒成该应用程序非常有帮助,此外,web 代理对于发现XSS及其他Web应用程序漏洞也有极大的帮助。
五、XSS蠕虫
一直在线的Web应用程序,诸如webmail、社交网络、聊天室、在线多人游戏、在线赌场或者一切需要用户交互以及需要在用户间相互发送某种形式信息的Web应用程序,都容易受到XSS蠕虫的攻击。XSS蠕虫充分地利用了Web应用程序的特性来自我传播。例如,Webmail应用中的XSS蠕虫利用了攻击者能够捕获受害者的联系人名单与发送电子邮件的事实。
当受害者点击了指向HTML注入的链接时,XSS就会被激活,由此触发脚本的执行。 脚本将搜索受害者的联系人名单,然后发送电子邮件到受害者的联系人名单中的每个联系人。每个联系人将收到一封来自有信誉的发件人(受害者)的电子邮件,该邮件会邀请联系人单击一些链接。一旦他单击了该链接,这个联系人就会变成了另一个受害者,然后他的联系人也会收到他的来信。
XSS蠕虫以极快的速度繁衍,能够在短期内感染许多用户,并引起大量的网络流量。对于传播其它攻击诸如钓鱼攻击等,非常有效。更为有趣的是,攻击者有时候会向Web应用程序添加隐藏的HTML 内容以便对浏览器发动多种攻击。如果用户运行的Web 浏览器不是最新的,攻击者就能够完全控制用户的机器。本例中,XSS用来传递某些其他弱点。
上面部分介绍了跨站脚本的危害,下面介绍攻击者是如何诱骗受害者的。
六、诱捕受害者
现在,我们已经知道如何寻找HTML注入点,以及如果攻击者能够使用户单击指向注入的HTML的链接的话,他能够做哪些事情。有时候,注入的HTML会在正常的用户交互过程中被激活。也就是说,有许多有效的方法。然而,通常情况下攻击者必须使用户单击了指向注入的HTML代码的链接才能激活攻击过程。本节简要讨论如何促使受害者去单击一个链接。
现在假设您就是攻击者。如果您发现可以在http://search.engine.com/search?p= 注入HTML,并且在http://evil.org/e.js处设计了一个恶意的脚本。 现在,你只要设法让人们点击下列链接就行了:
http://search.engine.com/search?p=
但是,究竟会有多少人会点击上述的链接呢?对电脑知识稍有了解的用户一眼就能看出点击上述链接肯定不会有好事。因此,攻击者需要给这个链接化化妆,然后引诱用户单击一些更诱人的东西。
七、隐蔽指向注入的HTML的链接
可以用不同的方法来隐蔽链接,例如通过anchor标签、使用URL缩短技术站点、博客以及为攻击者所控制的网站等。
第一个建议十分简单,大多数Web应用程序会自动在URL周围封装上锚标签以便于用户跟随链接。如果攻击者可以写入他自己的超链接,诸如在一个webmail应用程序中,那么攻击者就能够构造一个如下所示的链接:
http://goodsite.com/cuteKittens.jpg
这个链接会作为http://goodsite.com/cuteKittens.jpg出现,然而,当受害者点击这个链接时,将被带至注入的HTML(即实际上点击的是攻击者注入的HTML)。
用于缩短URL的Web应用程序,诸如TinyURL、YATUC、ipulink.com、get-shorty.com(以及所有实现get-shorty功能的网站)等等,都能把冗长的URL转换成简短的URL。这些站点都是通过将URL映射到一个较短的URL,而较短的URL又重定向到一个长URL来实现的。 |
|
|
| 【收藏】【打印】【进入论坛】 |
|
|
|
|
| |
|
|
|
