互联漏洞[提权挂黑]

xss跨站漏洞  [提权篇]

具体步骤如下 

Xss介绍——

XSS (cross-site script) 跨站脚本自1996年诞生以来,一直被OWASP(open web application security project) 评为十大安全漏洞中的第二威胁漏洞。也有黑客把XSS当做新型的“缓冲区溢出攻击”而JavaScript是新型的shellcode。2011年6月份,新浪微博爆发了XSS蠕虫攻击,仅持续16分钟,感染用户近33000个,危害十分严重。XSS最大的特点就是能注入恶意的代码到用户浏览器的网页上,从而达到劫持用户会话的目的。

由于web应用程序对用户的输入过滤不严产生的。攻击者利用网站漏把恶意的脚本代码注入到网页中,当用户浏览这些网页时,就会执行其中的恶意代码,对受害用户可能采用cookie资料窃取,会话劫持,钓鱼欺骗等攻击手段。

危害——

网络钓鱼,包括盗取各类的用户账号

窃取用户cookie

窃取用户浏览请回话

强制弹出广告页面、刷流量

网页挂马

提升用户权限,进一步渗透网站

传播跨站脚本蠕虫等等

Xss脚本示例——

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏容器云生态

局域网内的NIS服务器器搭建管理

NIS(网络信息服务),用来集中账号信息管理。类似LDAP一样的功能哦,一般可以作为LAN内的用户认证服务器吧! NIS服务器提供的数据: /etc/passw...

40860
来自专栏blackpiglet

查杀 libudev.so 和 XMR 挖矿程序记录

这两天使用的公网服务器被入侵了,而且感染了不止一种病毒:一种是 libudev.so,是 DDoS 的客户端,现象就是不停的向外网发包,也就是超目标发起 DDo...

20750
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–现金管理(160)-9银企对账-FF_5导入银行对账单

4.3.2 FF_5导入银行对账单 (电子银行对账单) 角色:银行会计 会计核算 -财务会计-银行 - 收款 - 银行对账单 -导入 1. 输入以下数据:...

35650
来自专栏知识分享

232转485转换器改进为有电源的可以双向传输

自己打开外壳在里面485een芯片的电源引脚上加了一个纽扣电池,电池是我同事李士响帮我焊接的,感谢一下他,这样就不需要在 ? 上接5~12伏电压就可以接收485...

302110
来自专栏HTML5学堂

Petya 勒索病毒防护 — 国家互联网应急中心

HTML5学堂-码匠:2017年6月27日夜间开始,名为Peyta的勒索病毒在多个国家肆虐。为保证您的信息安全,请您尽快下载并安装相应补丁。 Peyta病毒 国...

33870
来自专栏玄魂工作室

CTF实战20 渗透测试-后渗透攻击

一般情况下Linux的本地提权要用nc反弹出来,因为Linux下提升权限后得到的是交互式shell,需反弹才能进行下一步命令的执行

28940
来自专栏张善友的专栏

使用反向代理发布内网服务

DMZ是英文“demilitarizedzone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题...

24180
来自专栏黑白安全

针对某mysql批量提权工具的后门分析

Windows小马下载地址三个......VBS执行脚本1个   linux小马下载地址连个.....

10120
来自专栏安恒信息

安全部门监测发现恶意后门程序新变种

国家网络安全部门通过对互联网的监测发现,近期出现一种恶意后门程序变种Backdoor_Parite.B. 该变种是一个远程控制程...

33070
来自专栏技术博文

PHP验证手机号码和归属地 PHP函数代码

一个实用的PHP函数代码,正则表达式验证手机号码的正确性和查询手机号码归属地,下面来看这个函数的具体代码: <?php // 手机号码验证 function c...

49460

扫码关注云+社区

领取腾讯云代金券