本文地址：http://www.reibang.com/p/511e137f6cf4

第七章 漏洞利用

偷取隱私數(shù)據(jù)

Referer有時(shí)會(huì)泄露數(shù)據(jù)，比如當(dāng)前url中存在隱私數(shù)據(jù)

避免的方法：

• 一是url中不放隱私的數(shù)據(jù)
• 二是添加中間跳轉(zhuǎn)頁(yè)勾缭，這樣跳出去后referer不會(huì)有隱私數(shù)據(jù)
• 給link標(biāo)簽上添加 ref=noreferrer 屬性,HTML5支持高镐，所以有兼容性

<a  ref='noreferrer' >link</a>

瀏覽器記住的明文密碼

參考這邊文章：XSS Hack：獲取瀏覽器記住的明文密碼

基于CSRF的攻擊技術(shù)

• 基于CSRF的SQL注入
• 基于CSRF的命令執(zhí)行（后臺(tái)命令）
• 基于CSRF的XSS攻擊

瀏覽器劫持技術(shù)

瀏覽器劫持技術(shù)是指通過(guò)劫持用戶點(diǎn)擊鏈接，在打開新窗口的時(shí)候注入攻擊者的JS代碼啤月，達(dá)到將XSS威脅延續(xù)到同域內(nèi)的其他頁(yè)面

一些跨域操作技術(shù)

IE res:協(xié)議跨域 P232

CSS String Injection跨域煮仇，針對(duì)IE瀏覽器

test.html

<body>
  {}body{font-family:
    hello
  }
</body>

test2.html

<style>
  @import url('http://x.com/text.html');
</style>
<script>
  setTimeout(function (){
    var t = document.body.currentStyle.fontFamily;
    alert(t);
  }, 2000);
</script>

瀏覽器特權(quán)區(qū)域風(fēng)險(xiǎn)

比如瀏覽器插件等，可以與系統(tǒng)打交道谎仲，XSS進(jìn)入到這個(gè)區(qū)域的過(guò)程浙垫，稱為 Cross Zone Scripting 或 Cross Context Scripting（簡(jiǎn)稱XCS）

其他跨域經(jīng)典

• 利用UNC跨域，這里看一篇文章：《走向本地的邪惡之路》郑诺，主要是利用iframe嵌入file:///本地文件

• mhtml協(xié)議跨域夹姥，這里推薦看這篇：《IE下MHTML協(xié)議帶來(lái)的跨域危害》

XSS Proxy 技術(shù)

基于瀏覽器的遠(yuǎn)程控制

• 基于script跨域請(qǐng)求
• ajax請(qǐng)求
• 服務(wù)端WebSocket推送消息
• postMessage 方式推送指令

真實(shí)案例剖析

百度空間登陸DIV層釣魚

利用SRC中引號(hào)等特殊號(hào)沒有過(guò)濾，注入腳本间景，模擬官網(wǎng)登陸窗口佃声，發(fā)送表單時(shí)攔截

Gmail正常服務(wù)釣魚

人人網(wǎng)跨子域盜取MSN號(hào)

依賴不同子域設(shè)置相同根域document.domain=renren.com，攔截所有l(wèi)ink倘要，通過(guò)js打開頁(yè)面圾亏，并保留新頁(yè)面的window引用十拣，然后注入腳本，提交表單時(shí)獲取用戶名志鹃、密碼

跨站獲取更高權(quán)限

• 案例：ECSHOP誘導(dǎo)管理員點(diǎn)擊鏈接夭问，添加超級(jí)管理員賬號(hào)
• 提權(quán)shell

大規(guī)模XSS攻擊思想

借助搜索引擎，得到某一類CMS等網(wǎng)站列表曹铃，通過(guò)添加友鏈等方式等待管理員激活

第八章 HTML5 安全

新標(biāo)簽和新屬性繞過(guò)黑名單策略

新元素突破黑名單

• 標(biāo)簽

<video onerror=javascript:alert(1)></video>
<audio onerror=javascript:alert(1)></audio>
<video><source onerror=javascript:alert(1)></source></video>
<audio><source onerror=javascript:alert(1)></source></audio>
<video onloadedmetadata="javascript:alert(2)" ondurationchange="javascript:alert(3)" ontimeupdate="javascript:alert(4)" onerror="javascript:alert(1)"></video>
<video onerror=javascript:alert(1)></video>

• 新屬性缰趋，可利用的屬性有formaction、onformchange陕见、onforminput秘血、autofocus等

History API新方法

pushState() 與 replaceState()

短地址+History新方法

• 通過(guò)短地址可以做到

<!--前-->
http://a.com/id=<script>alert(1)</script>
<!--后-->
http://bit.ly/aRsd8F

• 點(diǎn)擊之后在瀏覽器中不過(guò)就會(huì)還原，于是在借助History API即可

http://a.com/id=<script>history.pushState(1);alert(1)</script>
<!--或者-->
http://a.com/id=<script>history.replaceState(1);alert(1)</script>

HTML5下的僵尸網(wǎng)絡(luò)

Web Worker

new 之后會(huì)新建一個(gè)線程在主頁(yè)面后臺(tái)

<script>
  var worker = new Worker('test.js');
  worker.postMessage('hello');
  worker.onmessage = function(evt){
    console.log(evt.data);
  }
</script>

CORS向任意網(wǎng)站發(fā)送跨域請(qǐng)求

地理位置暴露信息

附原書購(gòu)買地址： http://item.jd.com/11181832.html