据,从而达到恶意攻击的目的。举个例子如下实验过程图, 在某网站发表评论,其中用户名、标题、内容等可尝试填写代码: <script>alert( ‘XSS ’)</script> 。增加“留言”后,当管理员查看留言时, 浏览器会自动弹出消息警告框“XSS ”,这就表明留言主题处的程序代码没有对主题变量参数进行任何安全处理,很可能存在跨站漏洞。这就是典型的跨站脚本攻击示例。当然跨站攻击远不止弹出一个警告框这么简单。黑客可以充分利用留言簿程序漏洞,提交经过精心构造的代码,然后欺骗管理员访问,从而达到盗取管理员 Cookie 、提升权限等各种恶意目的。首先在虚拟机设置相关服务,网站名: http://xxx./ (1)DNS 服务器创建””正向区域,创建 xxx. 主机(对应本机 IP地址 192.168.66.253 ),并创建 相关的反向区域及添加相应的记录。(2)创建 WEB 网站,站点的 IP地址为 192.168.66.253 ,端口号为 80 站点属性如下: XSS 攻击第 8页共 18页图1 通过 NSLOOKUP 命令可以正确的解析 xxx.( 包括正向和反向解析),命令执行结果画面如下: 图 2 XSS 攻击第 9页共 18页在IE浏览器中,使用 192.168.66.253 访问 WEB 站点,结果如下: 图3 在IE浏览器中,使用 xxx. 访问 WEB 站点,结果如下: 图4 在主机(IP地址为 192.168.66.22 )上Ping 虚拟机(IP地址为 192.168.66.253 ) 测试连通性,结果如下: XSS 攻击第 10页共 18页图5 在IE浏览器中,使用 xxx. 访问 WEB 站点,结果如下: 图 6 向网页代码中嵌入以下代码,则弹出一对话框"></iframe><script>alert("miss")</script><iframe"
全文预览
