当cookie没有设置HttpOnly属性时,可以通过javascript代码创建img,script,iframe等标签,并把src属性设置为自己部署的xss cookie接收平台,以url拼接document.cookie的形式把浏览页面的用户的cookie传递给自己
因为https的网站默认不能加载http的js,所以一般都会创建img标签
攻击者可以构造html/css/javascript代码,制作出一个与原网站风格相似的登录界面,或者把一些html元素进行移动/覆盖/遮挡,或者利用javascript的特性,重新定义页面的函数和变量,使得原来的功能被篡改
大概是两三年前,刷贴吧时发现有人曝光一个淘宝奸商,主要特点是他的商品评价只能看好评,点中差评无反应.分析了一下发现是奸商在编辑商品详情时(富文本编辑器 + 自定义行内样式),创建了一个比较大的div,遮挡住了中差评的选项
一般用于导流量,常见于黑产给菠菜网站导流
在2015年时,百度统计代码http://hm.baidu.com/h.js被劫持,其内容被加入了一个死循环并在间隔很短的时间内请求github的代码,导致大量引用了http://hm.baidu.com/h.js的网站变相对github进行CC攻击
近年来前端飞速发展,有了可以利用html开发桌面应用的框架,代表作有electron,nw.js.主要原理就是编写好html/css/js,以electron或nw.js去启动,特点是可以调用Node.Js的内置函数,如child_process.exec(命令执行)等.
基于这2个框架开发的比较出名程序有
随着前端飞速发展,不仅仅是桌面开发可以利用html,手机app同样也可以利用html来开发,主要原理是通过封装系统自带的webview,给出api提供javascript调用
封装有获取通讯录等原生app功能的框架有
国外的:
国内的:
针对hybrid app的XSS文章目前还比较少见,大概是很少白帽子会关注这类混合app开发框架,而挖到XSS时只是当成一个普通的XSS而没有尝试探测app使用的框架,然后去翻文档尝试调用获取联系人等api?
目前这块玩的人比较少,我在15年时带英文搜也没有发现几个相关文章,也与当时手机性能不足导致hybrid app方案很少有关
不过今年针对hybrid app的XSS文章开始多了起来.
当你能打进后台,但是却碰到了设置了HttpOnly属性的cookie时,无法窃取cookie时,不妨用这招,好歹也能探测一下后台数据
当然你也可以尝试探测下用户内网资源,比如跑几个路由器后门的payload
以下代码只可以运行在比较新的浏览器上,仅作示例用途
内容授权来自:https://pockr.org
作者:水母干