黑客
登录
客服
网络安全
网络安全,渗透测试

XSS实战攻击思路总结

围观人数:3228 日期:2020/11/4 10:10:41

前言

前几天看到 B 站 up 主公孙田浩投稿的视频「QQ被盗后发布赌博广告,我一气之下黑了他们网站」,看完后不禁感叹为啥自己没有那么好的运气......实际上这就是一个中规中矩的 XSS 漏洞案例,在安全圈子里面应该也算是基本操作,正好博客以前没有记录过类似的文章,那么本文就来还原一下这个攻击过程。

鉴别网站

下面是一个经典的 QQ 空间钓鱼网站:

域名分析

钓鱼网站最直观的就是看域名,可以看到目标网站域名 :qq.xps.com 尽管域名中出现了 qq 字样,但是一级域名却是 xps.com 这一点就直接暴露了钓鱼网站的本性。

早期还有一种利用拉丁字母注册的域名伪造钓鱼网站的案例,这种就比较逼真了,下面国光简单列举一些:

OPPO 官网 真假域名

# 真域名
www.oppo.com

# 假域名
www.οppο.com
vip

最新文章

推荐文章

热门文章

黑客技术 黑客软件 黑客教程 黑客书籍

关于我们 | 免责声明 | 学员守则 | 广告服务 | 联系我们

©2013-2021 xf1433.com 版权所有

本站资源仅供用于学习和交流,请遵循相关法律法规