文章详情
XSS实战攻击思路总结
日期:2020/11/4 10:10:41
前言
前几天看到 B 站 up 主公孙田浩投稿的视频「QQ被盗后发布赌博广告,我一气之下黑了他们网站」,看完后不禁感叹为啥自己没有那么好的运气......实际上这就是一个中规中矩的 XSS 漏洞案例,在安全圈子里面应该也算是基本操作,正好博客以前没有记录过类似的文章,那么本文就来还原一下这个攻击过程。
鉴别网站
下面是一个经典的 QQ 空间钓鱼网站:
域名分析
钓鱼网站最直观的就是看域名,可以看到目标网站域名 :qq.xps.com 尽管域名中出现了 qq 字样,但是一级域名却是 xps.com 这一点就直接暴露了钓鱼网站的本性。
早期还有一种利用拉丁字母注册的域名伪造钓鱼网站的案例,这种就比较逼真了,下面国光简单列举一些:
OPPO 官网 真假域名
# 真域名
www.oppo.com
# 假域名
www.οppο.com
上一文章:一次艰难的TP渗透测试
相关推荐
- 10-20SEO工作一天的工作流程和内容有哪些?
- 11-12MySQL绕过小结
- 10-21NexusRepositoryUserComponent远程代码执行
- 11-16WeblogicIIOP协议NAT网络绕过
- 05-12开放封闭原则的含义(不改代码怎么写新功能)
- 10-29通达OA任意文件删除
- 10-21记一次SpringDevtools反序列化利用
- 10-28半途而废的测试
- 05-11前端程序员学习方法(前端程序员该如何提高自
- 11-02MS16-063绕过CFG利用
- 10-21对酒店房间自助售货机的支付漏洞挖掘
- 05-10几款小众web指纹识别工具源码分析
- 05-08记一次对Tp二开的源码审计(Php审计)
- 09-08《王者荣耀》各地玩家平均段位出炉:来看看你