前言
首先我们需要先了解什么是xss攻击。XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
具体介绍:什么是XSS攻击?XSS攻击有哪几种类型?
1. typecho评论区插入xss代码
typecho无论哪个版本,对xss的过滤并不完善,其主要表现在typecho的后台评论编辑里,攻击者很容易就可以利用xss攻击拿到你typecho的后台以及你的管理员登陆cookie,这是非常严重的事情,因为typecho后台一旦被入侵,那么攻击者可以随意修改你的php代码,插入后门控制你的站点等等....
此处的xss代码请自行研究,本文章不提供本作者也不提供教学
2. 模拟admin后台编辑提交评论
这里如果只是浏览并不会产生xss攻击,攻击者并不会得逞,但是攻击者可以利用正常的话术套你点开编辑,如果你一旦提交,那么恭喜你,你的站点已经是别人的囊中之物。
让我们模拟管理员大意因为话术或者没有注意点击植入了xss攻击代码的评论编辑页面并且提交
本文章只是演示,真实的针对性的攻击,并不会如此简单就可以让你看到xss代码,typecho的后台评论编辑框有高度限制,可以挤到后面,让你不注意就点了提交。
3. 攻击者收到攻击成功信息
这里只要你一旦提交,攻击关键步骤已经完成,那么高级点的xss攻击会发邮件提醒攻击者,那么如果你没及时退出后台,你的管理员cookie就是他的囊中之物。并且就算你即时退出登陆,你的后台路径也已经暴露,拿去做后台扫描的字典,为别人字典提高扫出来的几率。
4. 模拟拿到管理员cookie入侵后台
此时你的站点入侵完成,直接在后台主题样式编辑页面插入一句话,连接过狗菜刀一把梭
最后
所以本文章是让大家对xss攻击引起警示,xss很容易疏忽,但xss的威力不容小觑,本文章要是有错误或需要更正的地方欢迎在评论区留言,下一篇文章我们教大家typecho如何防止xss并且加强后台登陆校验~
攻防无绝对,技术无黑白
感谢您阅读本文章
