Scripts 学盟

标题: 说一点点关于 XSS 的东东 —— 借刀杀人 [打印本页]

作者: 混混@普宁.中国 时间: 2011-6-16 11:53:39 标题: 说一点点关于 XSS 的东东 —— 借刀杀人

百度百科中对 XSS 有这样的描述:

恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。

XSS 的手法是灵活多变的，所以让很多 WEB 开发人员防不胜防。

扯一扯个简单的吧。

还是得从摸摸跟杰杰这对冤家开始。。。
--------------------------------

话说看到杰杰的积分就是长的快，摸摸非常不服气，而且杰杰还当了超版，摸摸更是郁闷死了。。。

摸摸就一心想把杰杰给

了

于是乎，摸摸就找啊找啊，发现如果下面页面地址正常响应的话，

http://www.iscripts.org/admin.php?action=members&operation=clean&uidarray%5B%5D=6

杰杰的账号就会被删掉!

不过，摸摸还是没能这么把杰杰删了，因为摸摸是普通会员，请求这个页面，服务器是不会理摸摸的

但是，如果是混混请求这个页面地址的话，结果很显然啦 —— 杰杰的账号将会被删除了。

---------------------------------

这个时候呢，聪明狡诈的摸摸就使了一套连环计

摸摸，去发了一个帖子《悲催! 本人艳照外流...》，摸摸当然是想吸引混混浏览，才出此 XSS/美人/苦肉/连环计的。

然后在帖子中，发布了一堆个人艳照....

[img]http://www.iscripts.org/摸摸艳照1.jpg[/img]
[img]http://www.iscripts.org/摸摸艳照2.jpg[/img]
[img]http://www.iscripts.org/admin.php?action=members&operation=clean&uidarray%5B%5D=6[/img]
[img]http://www.iscripts.org/摸摸艳照3.jpg[/img]
[img]http://www.iscripts.org/摸摸艳照4.jpg[/img]
...

复制代码

看到了木有，有木有？？

摸摸在中间放了一张特殊照片。。。

就是这张照片，就是这个地址，混混在看看《摸摸艳照门》的时候，不知不觉得的就把杰杰给删了。。。。

-------------------

在这里呢，摸摸通过发布带有欺骗性的内容，在他人不知情的情况下，引导他人请求具有特定功能的页面。
这也是 XSS 的一种普遍手法。。

------------------

工程师们，你注意到了吗？你以后写网站会考虑这个问题吗？

作者: 混混@普宁.中国 时间: 2011-6-16 11:55:44

哈哈，上面穿插的人物及故事情节纯属虚构，如有雷同，实属巧合。。。

-------------
不过，如果摸摸你想试一下，的话，美人计，和苦肉计连环都可以。

XSS就不用试了。。。。

对本论坛无效！

因为 discuz 在管理员施行管理工作前是要求二次登录的
并且采用了令牌机制
提交请求之前是先发放一张令牌
提交请求时，需要将令牌一并提交, 服务器才会正常响应

作者: fenfen 时间: 2011-6-16 12:04:21