首页 » 学而享之 » 正文

1、Cookie劫持

利用浏览器插件,可以获取请求中的Cookie信息,从获取到的Cookie信息中,读取用户的私密信息。
2、模拟GET、POST请求操作用户的浏览器。使用JavaScript模拟浏览器发包

“Cookie劫持”失效时,或者目标用户的网络不能访问互联网等情况下,这种方式非常有用
3、XSS钓鱼

利用JavaScript在当前页面“画出”一个伪造的登录框,当用户在登录框中输入用户名与密码后,其密码将被发送到黑客的服务器

4、获取用户浏览器信息

JavaScript脚本通过XSS读取浏览器的UserAgent对象来识别浏览器的版本。alert(navigator.userAgent)
通过JavaScript脚本区分浏览器之间的实现差异
5、识别用户安装的软件

通过查询某些属性是否存在,从而判断是否安装了某个软件或某个插件
6、通过CSS,来发现用户曾经访问过的网站

通过style的visited属性,来判断链接是否被访问
7、劫持浏览器会话,从而执行任意操作,如进行非法转账、强制发表日志、发送电子邮件等

8、强制弹出广告页面,刷流量等

9、进行大量的客户端攻击,如DDoS攻击

10、获取用户电脑的真实IP

XSS攻击框架“AttackAPI”中,有一个获取本地IP的API
利用JAVA获取本地网络信息的API

未经允许不得转载:作者:吾爱博客, 转载或复制请以 超链接形式 并注明出处 吾爱博客
原文地址:《XSS能做些什么》 发布于2019-04-13

分享到:
赞(0)

评论 抢沙发

1 + 8 =


Vieu4.5主题
专业打造轻量级个人企业风格博客主题!专注于前端开发,全站响应式布局自适应模板。
切换注册

登录

忘记密码 ?

切换登录

注册