注册忘记密码

黑客论坛,黑客工具,黑客教程,QQ技术,黑客基地,黑客网络,黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防,黑客编程,黑客定位,手机定位,微信定位,hack,黑客网站,查开房,定位,信息查询

查看: 5127|回复: 0

[入侵渗透] iframe内嵌出一个开放的世界

[复制链接]
   0 UID
   0帖子
   0精华
21
   0威望
500
   0金币
44822
   0贡献
5000
   0阅读权限
   200
   积分
   0
   在线时间
   532 小时
   最后登录
   2019-12-11
发表于 2019-1-2 20:30:05 | 显示全部楼层 |阅读模式
iframe标签是HML中一个非常重要的标签,也是Wcb安全中出镜频率最高的标签之,很多网站都通过 iframe嵌入第三方内容,比如,嵌入广告页面,语句如下
cI--Adrorward Begin:-->frame narginheight=”0” marginwidth=”0· transborder=”0 width=”820height-"90"scrolling"no"src"http://man.allyes.com/nain/adtshow?user-msni
Home Page I Homepage 2nd banner 820x90sampidbensnsampi border-0sanp: local-yes">
--Md Forward End-->还有web20网站中嵌入的许多第三方web游戏与应用,都有使用到 iframe. iframe
标签带来了很多便利,同时也带来了很多风险,比如,攻击者入侵一个网站后,可以通过iframe嵌入自己的网马页面,用户访问该网站后,被嵌入的网马页面就会执行,这种信任关系导致的安全问题在第1章已介绍过ifane标签还有一些有趣的安全话题,当网站页面使用 iframe方式嵌入一个页面时我们约定网站页面是父页,而被嵌入的这个页面是子页,如图21所示。那么父页与子页之间如何跨文档读写数据?
父页:www.foo.com
父页 location值可写,但不可读
iframe嵌入子页:www.evil.com同源策略不允跨域进行资源读写 iframe父页与子页资源访问
如果父页和子页之间是同域,那就很容易,父页可以通过调用子页的 content Window来操作子页的DOM树,同理,子页可以调用父页的 content window来操作父页的DOM树如果它们不同域,则必须遵守同源策略,但子页还是可以对父页的 location值进行写操作这样可以让父页重定向到其他网页,不过对 location的操作仅仅只有写权限,而没有读权限,这样就不能获取到父页 location URI的内容,否则有可能会造成隐私数据泄漏,比如,有的网站将身份认证 token存在于URL中
HTML内嵌脚本执行
Javascript脚本除了出现在JS格式文件里,被嵌入而执行外,还可以出现在HML的
script>< / scrip>标签内、HTML的标签on事件中,以及一些标签的href、src等属性的伪
协议 (javascript:等)中。
如下几个例子
<script>alert(1)</scipt>
onerror="alert(1)"/>
<input type=text" value="x" onmouseover="alert(1)"/>
<iframe src="javascript: alert(1)"></iframe>
< a href=" ">x</ a>
这样导致防御XSS变得有些棘手,出现在DOM树的不同位置,面对的防御方案都不太一样。这也为黑客攻击者提供了很大便利,能够执行 JavaScript的位置越多,意味着XSS发生的面也越广,XSS漏洞出现的可能性也越大
跨站之魂— JavaScript
在web前端安全中, JavaScript控制了整个前端的逻辑,通过 JavaScript可以完成许多操作。举个例子,用户在网站上都有哪些操作?首先提交内容,然后可以编辑与删除,那么这些 JavaScript几乎都可以完成,为什么是“几乎”?因为碰到提交表单需要验证码的情况, Javascript就不行了,虽然有HTML5的 canvas来辅助,不过效果并不会好。
对跨站师来说,大多数情况下,有了XSS漏洞,就意味着可以注入任意的 JavaScript有了 JavaScript,就意味着被攻击者的任何操作都可以模拟,任何隐私信息都可以获取到可以说, JavaScript就是跨站之魂
DOM树操作
在24.1节我们知道了DOM树,并且提到通过DOM操作能够获取到各种隐私信息现在来看看都怎么获取.

发表回复

您需要登录后才可以回帖 登录 | 注册会员

本版积分规则


快速回复 返回顶部 返回列表