特别声明:文章多为网络转载,资源使用一般不提供任何帮助,特殊资源除外,如有侵权请联系!

1、Cookie劫持

利用浏览器插件,可以获取请求中的Cookie信息,从获取到的Cookie信息中,读取用户的私密信息。
2、模拟GET、POST请求操作用户的浏览器。使用JavaScript模拟浏览器发包

“Cookie劫持”失效时,或者目标用户的网络不能访问互联网等情况下,这种方式非常有用
3、XSS钓鱼

利用JavaScript在当前页面“画出”一个伪造的登录框,当用户在登录框中输入用户名与密码后,其密码将被发送到黑客的服务器

4、获取用户浏览器信息

JavaScript脚本通过XSS读取浏览器的UserAgent对象来识别浏览器的版本。alert(navigator.userAgent)
通过JavaScript脚本区分浏览器之间的实现差异
5、识别用户安装的软件

通过查询某些属性是否存在,从而判断是否安装了某个软件或某个插件
6、通过CSS,来发现用户曾经访问过的网站

通过style的visited属性,来判断链接是否被访问
7、劫持浏览器会话,从而执行任意操作,如进行非法转账、强制发表日志、发送电子邮件等

8、强制弹出广告页面,刷流量等

9、进行大量的客户端攻击,如DDoS攻击

10、获取用户电脑的真实IP

XSS攻击框架“AttackAPI”中,有一个获取本地IP的API
利用JAVA获取本地网络信息的API

未经允许不得转载:作者:諦覠, 转载或复制请以 超链接形式 并注明出处 吾爱博客
原文地址:《XSS能做些什么》 发布于2019-04-13

分享到:
赞(0) 打赏

评论 抢沙发

2 + 2 =


XSS能做些什么

长按图片转发给朋友

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

諦覠
欢迎来到吾爱博客~
切换注册

登录

忘记密码 ?

切换登录

注册