常用手段:
- 构造GET和POST
- Xss钓鱼
- 识别用户浏览器
- 识别用户安全的软件
- css History Hack
- 获取用户的真实IP地址
- Xss 攻击平台
- Xss Worm
介绍一下
构造get方法,可以用img标签等不进行跨域验证的标签对后台发起get请求。
构造post方法就可以js构造一个form表单或者使用ajax来提交post请求。
xss钓鱼则是利用邮件来创造与用户进行交互的机会。
如果想实施一次精准的浏览器内存攻击,向目标计算机植入木马,则需要识别用户浏览器,了解每个浏览器的漏洞和特点进行攻击。
在知道了用户使用的浏览器、操作系统后可以对用户安装的软件进行识别,可以识别目标浏览器安装的控件或插件。也可以通过检测扩展图标的方式对插件进行判断。
css history hack就是可以通过css来发现一个用户曾经访问过的网站。
Xss payload可以获取客户端的本地IP。(Attack API)
常用的Xss攻击平台(Attack API\BeEF\Xss-Proxy)
一般使用worm最好存在存储行Xss。
Xss的构造技巧
1、利用字符编码
2、绕过长度限制
3、<base>
