关于xss盗取游戏账号的信息
本文目录一览:
- 1、XSS攻击的背景知识
- 2、网络诈骗的手段有哪些?
- 3、什么是xxs漏洞
- 4、什么是XSS跨站脚本攻击
XSS攻击的背景知识
1.1 什么是XSS攻击
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。
数据来源:2007 OWASP Top 10的MITRE数据
注:OWASP是世界上最知名的Web安全与数据库安全研究组织
在2007年OWASP所统计的所有安全威胁中,跨站脚本攻击占到了22%,高居所有Web威胁之首。
XSS攻击的危害包括
1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号
2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力
3、盗窃企业重要的具有商业价值的资料
4、非法转账
5、强制发送电子邮件
6、网站挂马
7、控制受害者机器向其它网站发起攻击
1.2 XSS漏洞的分类
XSS漏洞按照攻击利用手法的不同,有以下三种类型:
类型A,本地利用漏洞,这种漏洞存在于页面中客户端脚本自身。其攻击过程如下所示:
Alice给Bob发送一个恶意构造了Web的URL。
Bob点击并查看了这个URL。
恶意页面中的JavaScript打开一个具有漏洞的HTML页面并将其安装在Bob电脑上。
具有漏洞的HTML页面包含了在Bob电脑本地域执行的JavaScript。
Alice的恶意脚本可以在Bob的电脑上执行Bob所持有的权限下的命令。
类型B,反射式漏洞,这种漏洞和类型A有些类似,不同的是Web客户端使用Server端脚本生成页面为用户提供数据时,如果未经验证的用户数据被包含在页面中而未经HTML实体编码,客户端代码便能够注入到动态页面中。其攻击过程如下:
Alice经常浏览某个网站,此网站为Bob所拥有。Bob的站点运行Alice使用用户名/密码进行登录,并存储敏感信息(比如银行帐户信息)。
Charly发现Bob的站点包含反射性的XSS漏洞。
Charly编写一个利用漏洞的URL,并将其冒充为来自Bob的邮件发送给Alice。
Alice在登录到Bob的站点后,浏览Charly提供的URL。
嵌入到URL中的恶意脚本在Alice的浏览器中执行,就像它直接来自Bob的服务器一样。此脚本盗窃敏感信息(授权、信用卡、帐号信息等)然后在Alice完全不知情的情况下将这些信息发送到Charly的Web站点。
类型C,存储式漏洞,该类型是应用最为广泛而且有可能影响到Web服务器自身安全的漏洞,骇客将攻击脚本上传到Web服务器上,使得所有访问该页面的用户都面临信息泄漏的可能,其中也包括了Web服务器的管理员。其攻击过程如下:
Bob拥有一个Web站点,该站点允许用户发布信息/浏览已发布的信息。
Charly注意到Bob的站点具有类型C的XSS漏洞。
Charly发布一个热点信息,吸引其它用户纷纷阅读。
Bob或者是任何的其他人如Alice浏览该信息,其会话cookies或者其它信息将被Charly盗走。
类型A直接威胁用户个体,而类型B和类型C所威胁的对象都是企业级Web应用。
网络诈骗的手段有哪些?
1、假咨询信息
受网上假咨询信息负面影响很大的行业是证券业。股市黑手或证券公司内部人员在网上披露虚假信息哄抬股价,待上当受骗的投资者把股价抬上去后,就开始倾销股票。
假咨询信息发布的人无非出于两种企图:一种是牟利,一种是恶作剧,但给受害人带来的损失都不小,给互联网环境带来的负面影响也很大。网民对待网上的信息要有区别地对待,不能全部都认为是真的,毕竟网络是虚拟的。
2、网上拍卖
网上拍卖与网上购物无疑是网上消费的热点。它们在为广大消费者提供了购物方便的同时,也引发了不少与之相关的投诉。其中,最常见的投诉问题是当买主在拍卖成功付了钱之后,要么就根本收不到货,要么就是收到的货跟自己当初在网上看到的完全不一样。
3、和上网服务有关的骗局
消费者看到一些网上广告说,只要到某某网站免费注册一下,该网站将提供免费上网服务。注册的时候.网站需要你提供信用卡信息,但保证决不会要你付费。注册完毕后,他们会让你下载上网所需的软件,说是供你上网所用。
岂不知,这个软件里含有病毒,一旦在电脑中安装后,每次一点击上网器,电脑就会死机,根本上不了网。与此同时,你的信用卡却已被人盗用多次。提供上网服务是假,获取你信用卡信息才是这个骗局的真正目的。
4、信息/成人服务骗局
“成人内容”的网站往往有很多光顾者。有些人付费从这些网站上下载照片。有些骗局正是针对这样的消费者而来,以提供免费下载“成人内容”的照片为诱饵,结果当顾客在下载照片的同时,也不知不觉地下载了一个拨号软件。此后,他们的电脑被这个拨号软件神不知鬼不觉地自动拨通了一个国际电话。直到顾客收到巨额电话费账单的时候,才知道自己被骗。
扩展资料:
建议您使用以下几种方法来避免受骗:
(1)用搜索引擎搜索一下这家公司或网店,查看电话、地址、联系人、营业执照等证件之间内容是否相符,对网站的真实性进行核实。正规网站的首页都具有“红盾”图标和“ICP”编号,以文字链接的形式出现。
(2)看清网站上是否注明公司的办公地址,如果有,不妨与该公司的人交涉一下,表示自己距离该地址很近,可直接到公司付款。如果对方以种种借口推脱、阻挠,那就证明这是个陷阱。
(3)在网上购物时最好尽量去在现实生活中信誉良好的公司所开设的网站或大型知名的有信用制度和安全保障的购物网站购买所需的物品。
(4)不要被某些网站上价格低廉的商品能迷惑,这往往是犯罪嫌疑人设下的诱饵。
(5)对于在网络上或通过电子邮件以朋友身份招揽投资赚钱计划或快速致富方案等信息要格外小心,不要轻信免费赠品或抽中大奖之类的通知,更不要向其支付任何费用。
(6)对于发现的不良信息及涉嫌诈骗的网站应及时向公安机关进行举报。
参考资料:百度百科-网络诈骗
什么是xxs漏洞
XSS攻击的危害包括 1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号 2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力 3、盗窃企业重要的具有商业价值的资料 4、非法转账 5、强制发送电子邮件 6、网站挂马 7、控制受害者机器向其它网站发起攻击 1.2 XSS漏洞的分类 XSS漏洞按照攻击利用手法的不同,有以下三种类型: 类型A,本地利用漏洞,这种漏洞存在于页面中客户端脚本自身。其攻击过程如下所示: Alice给Bob发送一个恶意构造了Web的URL。 Bob点击并查看了这个URL。 恶意页面中的JavaScript打开一个具有漏洞的HTML页面并将其安装在Bob电脑上。 具有漏洞的HTML页面包含了在Bob电脑本地域执行的JavaScript。 Alice的恶意脚本可以在Bob的电脑上执行Bob所持有的权限下的命令。 类型B,反射式漏洞,这种漏洞和类型A有些类似,不同的是Web客户端使用Server端脚本生成页面为用户提供数据时,如果未经验证的用户数据被包含在页面中而未经HTML实体编码,客户端代码便能够注入到动态页面中。其攻击过程如下: Alice经常浏览某个网站,此网站为Bob所拥有。Bob的站点运行Alice使用用户名/密码进行登录,并存储敏感信息(比如银行帐户信息)。 Charly发现Bob的站点包含反射性的XSS漏洞。 Charly编写一个利用漏洞的URL,并将其冒充为来自Bob的邮件发送给Alice。 Alice在登录到Bob的站点后,浏览Charly提供的URL。 嵌入到URL中的恶意脚本在Alice的浏览器中执行,就像它直接来自Bob的服务器一样。此脚本盗窃敏感信息(授权、信用卡、帐号信息等)然后在Alice完全不知情的情况下将这些信息发送到Charly的Web站点。 类型C,存储式漏洞,该类型是应用最为广泛而且有可能影响到Web服务器自身安全的漏洞,骇客将攻击脚本上传到Web服务器上,使得所有访问该页面的用户都面临信息泄漏的可能,其中也包括了Web服务器的管理员。其攻击过程如下: Bob拥有一个Web站点,该站点允许用户发布信息/浏览已发布的信息。 Charly注意到Bob的站点具有类型C的XXS漏洞。 Charly发布一个热点信息,吸引其它用户纷纷阅读。 Bob或者是任何的其他人如Alice浏览该信息,其会话cookies或者其它信息将被Charly盗走。 类型A直接威胁用户个体,而类型B和类型C所威胁的对象都是企业级Web应用
什么是XSS跨站脚本攻击
什么是XSS攻击XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常忽略其危害性。而本文主要讲的是利用XSS得到目标服务器的shell。技术虽然是老技术,但是其思路希望对大家有帮助。 [编辑本段]如何寻找XSS漏洞就个人而言,我把XSS攻击分成两类,一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句,如:dvbbs的showerror.asp存在的跨站漏洞。另一类则是来来自外部的攻击,主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点,我们自己构造一个有跨站漏洞的网页,然后构造跨站语句,通过结合其它技术,如社会工程学等,欺骗目标服务器的管理员打开。
