[组图]XSS Phishing - 新式跨站脚本攻击方式 如图四,帖子页面的代码和内容全变成了“我是来钓鱼的!”
想一想,如果我们把info变量的内容变成HTML代码会怎样,如图五
嘿嘿,邪恶一点!我们完全可以把页面变成一个自己操纵的登录页面,将表单的值指向远程服务器上的程序,如图六
然后远程服务器上的程序将接受表单POST的用户和密码,当然我们可以做巧妙点,让其访问后又转跳回论坛首页,代码如下:
最后我们便完成了钓鱼的过程,管理员访问我们的帖子,马上重写当前页面,设置一个重新登录的陷阱,盗取用户名和密码,全部过程只在没有察觉的一瞬间.
这类攻击方式危害很大,文中的原始代码只是描叙一下思路,有很多破绽,当然如果你够邪恶的话,完全可以自己重写代码,钓鱼于无形之中。
提醒一下,跨站脚本不仅仅是简单的挂马,XSS Phishing(跨站脚本钓鱼攻击)只是一个简单的开始!
| XSS Phishing - 新式跨站脚本攻击 | 07-26 | |
| 浅析XSS(Cross Site Script)漏洞 | 07-26 | |
| BBSXP 2007的漏洞利用演示 | 07-11 | |
| 动网8.0最新漏洞 | 07-11 | |
| LBS blog又一注射漏洞含漏洞解析 | 07-04 | |
| BBSxp 2007 注射漏洞 | 07-02 | |
| 淘宝taobao 跨站 XSS 漏洞 | 06-29 | |
| LBS blog sql注射漏洞(统杀所有版 | 06-29 | |
| 最新QQ 163 126 等邮箱跨站挂马代 | 06-18 | |
| 入侵清华大学全过程 | 06-14 | |
| 入侵复旦大学 | 06-14 | |
| Ajax时代 SQL注入依然存在 | 06-13 | |
您现在的位置: