网站地图    收藏   

主页 > 后端 > 网站安全 >

XSS跨站脚本攻击和防范 - 网站安全 - 自学php

来源:自学PHP网    时间:2015-04-17 13:03 作者: 阅读:

[导读] 一、XSS挂马攻击过程模拟下面以动网DVBBS论坛为例模拟攻击者进行详细操作:步骤1:从网上下载动网DVBBS论坛源代码并在IIS中进行配置,再打开论坛的主页index.asp,如图。注册一个低权限...

一、XSS挂马攻击过程模拟下面以动网DVBBS论坛为例模拟攻击者进行详细操作:
步骤1:从网上下载动网DVBBS论坛源代码并在IIS中进行配置,再打开论坛的主页“index.asp”,如图。注册一个低权限的用户,随便进入一个版块,单击页面上的“发起投票”按钮,发投票贴,如图。
\   \  


步骤2:在“发起投票”页面中添加投票项目,在“投票项目”文本框中添加经典的跨站脚本攻击代码:<script>alert('xss')</script>,填写代码的地方是“投票项目”,其他地方攻击者一般会伪造成正常的信息,如图。
步骤3:在伪装完成后,发布投票贴。此时,攻击者发布的投票贴中已经包含XSS代码。只要用户访问了这个帖子,都将实现XSS攻击。为了测试效果,退出当前用户的登录,然后使用管理员账户登录,访问这个投票贴,如图。标准的XSS框弹出,说明攻击者构造的跨站攻击脚本成功。

\   \   二、XSS提权攻击实例步骤分析
XSS提权攻击的具体操作步骤如下: 步骤1:在IIS服务器中打开“index.asp”页面,即可进入“深度学习留言板”系统主页,如图。单击页面上方的【我要留言】按钮,即可打开“添加留言”页面,根据代码分析,填写如图所示的内容。
\ \  
步骤2:单击【留言】按钮,即可成功提交留言内容。当管理员再次登录后台进行管理工作的时候,选择左侧列表中的“留言板管理”选项,不用单击其他的内容,XSS就能直接触发,如图。 步骤3:此时选择左侧列表中的“网站用户管理”选项,即可看到除原本默认的管理员外,又新增了一个名叫“duoduosixu”的管理员,如图。  

\   \  


 
跨站脚本攻击的防范具体的操作步骤如下:
步骤1:打开IE浏览器,选择【工具】→【Internet选项】菜单项,即可弹出【Internet选项】对话框,如图。步骤2:切换到【安全】选项卡,选择【Internet】图标,单击【自定义级别】按钮,即可弹出【安全设置】对话框,在其中自定义Internet的安全级别,如图。 步骤3:找到“脚本”区域,再把“活动脚本”设置成“禁用”状态就可以了

\ \

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论