精通JavaScript攻击框架：AttackAPI（下）

核心提示： 浏览器是有敌意的因特网和本地可信网络这两个世界间的一个沟通平台，这使它成为攻击者穿越两个世界的理想平台，精通JavaScript攻击框架：AttackAPI（下）(6)，在下列部分，我们将展示进入某人的路由器是多么的简单，地址栏从来都不会发生任何的变化，很明显，已及攻击者是怎样轻松通过控制

浏览器是有敌意的因特网和本地可信网络这两个世界间的一个沟通平台，这使它成为攻击者穿越两个世界的理想平台。在下列部分，我们将展示进入某人的路由器是多么的简单，已及攻击者是怎样轻松通过控制其它的设备来破坏网络的完整性的。

二、劫持浏览器

XSS攻击的主要类型有两种，持久性和非持久性攻击。这里所说的持久性攻击更加危险，因为用户每次访问被感染的资源时攻击都会发生。这意味着，攻击者可以在很长一段时间内控制着用户的浏览器。

相反，非持久性XSS向量只发生在单个资源上，并且用户一旦离开被感染的页面，控制就会丢失。这意味着，攻击者只能对他们发动一次攻击。

之前我们曾提到，攻击者可以设置一个陷阱，以便获得对用户长时间的非持久性的控制。通过AttackAPI提供的一些劫持技术，我们就能达到该目的。下面考察一下如何通过该程序库来获得对受害者的浏览器的持久性但是非稳定的控制。

在AttackAPI的firtest-interative.htm页面中输入下列命令：

$A.hijackView({url:‘http://www.google.com’});

几秒钟后，应该可以得到如图3所示的结果。

图3

如果一切正常，应该可以看到Google的首页。您可能认为我们已经被重定向到Google，然而请注意地址栏并没有任何变化。这意味着，虽然看到的是另一番景象，但实际上我们仍然位于firtest-interative.htm这个页面中。可尝试浏览Google，并进行一些搜索。注意，地址栏从来都不会发生任何的变化。很明显，浏览器的视窗被一个非常短的URLs所劫持了。