什么是xss钓鱼攻击?
攻击者使用XSS漏洞绕过访问控制——,例如同源策略。 众所周知,这种类型的漏洞是黑客用来创建更具危险性的网络钓鱼攻击的,因此会窃取各种用户帐户,包括计算机登录帐户、用户网络银行帐户和管理员帐户以下示例是获取用户帐户和密码的网络钓鱼攻击。
换句话说,当攻击者写入网页的javascript向用户发送basic认证时,在给受害者撒上“诱饵”,用户输入并提交自己的信息时,“鱼”就上钩了
basic认证网络钓鱼攻击:
在存在xss漏洞的页面中嵌入要发送到客户端的请求程序(javascript或链接请求)。 )用户打开此链接时,系统会向后台发送请求,后台将返回如上图所示的basic身份验证标头。 用户的安全意识不强,为了注意到其异常,如实输入了自己的用户信息。 此时,信息将发送到攻击者的接收方。
相关嵌入代码
相关basic验证提示框的代码
xfish源代码
具体内容: get ) )获取远程传输的账户和密码
XSS钓鱼攻击的具体演示:
如上所述,假设您从攻击者那里收到钓鱼URL,访问它,然后单击“发送”。
将显示基本认证图像。
这是获取用户信息并将其发送到接收方。 在此暂时不输入任何内容,点击取消。 因为这是存储型XSS,所以它始终存在于web脚本中。 无论哪个用户通过具体的URL访问此页面,都会显示如上图所示的具有钓鱼性质的认证窗口。
用户输入适当的信息,如图所示提交时
攻击者可以在接收端获得适当的信息
信息在输入时间之前会变得具体。
但是,我们虚拟的钥匙可以看到警告。 也就是说,将信息发送到远程位置,而不是发送到适当的站点。 但是,对于缺乏安全意义的用户来说,很可能会忽略此警告。