从对等方接收数据时失败 假设您现在是黑客并且您已经建立了一个论坛,可以在注册页面上设置两个常见要求“输入您的电子邮件”和“重新输入您的电子邮件”。然后在“重新输入您的电子邮件”列中悄悄地放置一个隐藏的iframe,此位置将加载另一个普通网站的设置页面表单。https://security.love/XSSJacking/index2.html
当用户在您的网站上注册时,大多数人将首先进入邮箱,然后将邮箱复制到第一列并将其粘贴到第二列(小编辑静默)——在此过程中,用户削减了董事会的内容已经插入普通网站设置页面而不知道它。如果此普通网站上相应的表单字段中存在XSS漏洞,则攻击代码将起作用。受害者根本不知道整个过程是如何以及何时进行的。 攻击中使用的粘贴劫持技术是将XSS有效负载粘贴到其他域名的文本字段框架中。由于这些帧的位置可以改变并且不可见,因此点击劫持可以用于使用户感觉他仍在访问他正在“访问”的网站。事实上,他已经触发了自我XSS漏洞,黑客可以获取他的敏感信息。 通过XSS劫持攻击,黑客可以窃取用户的cookie,收件箱信息,配置细节,修改配置文件设置(如电话号码,邮箱号码)或执行其他恶意操作。 结论 今天的漏洞赏金项目不包括点击劫持和自我XSS。一旦存在这两个漏洞,就不再难以在目标计算机上强制执行XSS有效负载。 Dylan Ayrey表示,许多公司会忽略与XSS相关的漏洞报告,他特别提到 攻击者现在有越来越多的创新方法来利用Self-XSS,我认为公司会在收到此类报告后开始关注这些问题。 *参考源:bleeping,FB小编bimeover编译 黑客业务列表介绍和一般分类: 类别:攻击入侵破解开发 1:攻击业务订单:暂时取消所有此类业务订单[仅销售常规IDC流量] 2:入侵业务清单:包括网站源代码,办公系统,黑色系统,教育系统等。 3:破解业务类:软件,加密文件,二次打包,脱壳等。 4:二次开发业务清单:软件二次开发,源代码二次开发等 5:其他业务订单:特洛伊木马[通过所有防病毒],远程控制,特殊软件等 备注:未提及的业务订单可根据主要类别查询或直接联系客户服务。为避免浪费双方时间,请在咨询前阅读:业务交易流程及相关说明 注意:仅接受正式业务,个人无权接受。收集此内容。