从攻击者角度来阐述如何防御黑客攻击

核心提示： 一般来说跨站最容易出现的地方在网站的留言版块.攻击者可以构造如 的语句， 稍懂JS的人知道如果程序员在编写代码时没有过滤掉如传统的跨站利用方式一般都是攻击者首先构造一个网页，从攻击者角度来阐述如何防御黑客攻击(5)，然后在攻击者的另一个空间里面放一个收集cookie的页面接着结合其他技术让

一般来说跨站最容易出现的地方在网站的留言版块.攻击者可以构造如 的语句。 稍懂JS的人知道如果程序员在编写代码时没有过滤掉如

传统的跨站利用方式一般都是攻击者首先构造一个网页，然后在攻击者的另一个空间里面放一个收集cookie的页面接着结合其他技术让用户打开跨站页面 以便盗取用户的cookie从而进行攻击。 如当攻击者要渗透一个站点，攻击者可能首先使简单的HTML 标签如(粗体),(斜体)或(下划线)，或者他可能尝试简单的 script标签如 来检测，这样也是很容易检测出跨站漏洞。然而，高明点的攻击者可能用它的 hex 值替换整个字符串。这样 也是可以的，然后点提交，成功弹出如图7

到了这里可能有些朋友觉得只是弹个窗，没什么了不起的，因而觉得这个没什么利用价值那可就大错特错了。其实我们还是可以利用这个XSS来偷取管理员的cookie，或者挂马!因为这站只是用trim过滤了空格，所以利用起来是非常容易的。 嘿嘿 下面我用这个漏洞来演示一下怎么偷到管理员的密码。 我们可以伪造个密码验证框!让管理输入帐号和密码验证，为了不让管理员发现，密码框的代码是利用cookie验证，密码框出现一次后，要想再出现密码框，就要在IE那删除cookie，如图8

为了不让管理员发现，我们用图片来伪装了。好了，那我们就来看看利用程序吧!代码如下：

header("Content-type: image/gif");