XSS攻击实例分析

例1、简单XSS攻击

留言类，简单注入javascript

万能测试XSS漏洞代码："/></textarea><script>alert(1)</script>

 

有个表单域：<input type=“text” name=“content” value=“这里是用户填写的数据”>

 

1、假若用户填写数据为：<script>alert('foolish!')</script>（或者<script type="text/javascript" src="./xss.js"></script>）

 

2、提交后将会弹出一个foolish警告窗口，接着将数据存入数据库

 

3、等到别的客户端请求这个留言的时候，将数据取出显示留言时将执行攻击代码，将会显示一个foolish警告窗口。

 

【将数据改成html标签进行攻击，则会将原本的样式打乱。。。。。。。。】

 

例2、盗取cookie

1、网站所在域名为www.test88.com、攻击者控制的主机www.linuxtest.com

 

2、test88.com中的表单，xss.html

3、恶意攻击者插入相应代码

4、数据（攻击代码）插入数据库

 

5、攻击者控制的主机中设置接收盗取的cookie

 

开始模拟测试

1、test88.com中设置生成sessionID代码

 

2、客户端访问上面代码并生成自己的sessionID

3、客户端访问xss.html

#下面为模拟被攻击后取出数据的xss.html代码（显示数据）