整合營銷服務(wù)商
電腦端+手機端+微信端=數(shù)據(jù)同步管理
免費咨詢熱線:
電腦端+手機端+微信端=數(shù)據(jù)同步管理
免費咨詢熱線:
SS 是跨站腳本攻擊的(Cross Site Scripting)的簡稱,為了不跟CSS樣式混淆,所以被稱為是XSS。也就是網(wǎng)絡(luò)攻擊者往Web頁面中注入的一些包含惡意信息的Script腳本代碼。當用戶正常訪問到該網(wǎng)頁的時候,這段惡意代碼就會執(zhí)行,最終達到惡意攻擊的目的。
我們知道在很多網(wǎng)站中,都有富文本編輯器的存在,而在富文本編輯器中添加內(nèi)容之后,在后端接收到的文檔內(nèi)容是一串HTML的代碼。在正常情況下,用戶使用的時候并不會出現(xiàn)問題。但是,如果在這個內(nèi)容中添加了一段如下的代碼。
<script>alert("惡意攻擊!")</script>那么最終在文檔中存儲的內(nèi)容,就是如下的一段代碼
<html>
<head>
<title>Board</title>
</head>
<body>
<div id="board">
<script>alert("惡意攻擊!")</script>
</div>
</body>
</html>當然這里只是一段演示代碼,真實場景中的內(nèi)容可能要比這個包含的更多,那么這個時候問題就來了。
我們知道瀏覽器對于HTML代碼是解釋性的運行,當瀏覽器解釋到用戶輸入的這段代碼之后,會發(fā)生什么事情呢?因為瀏覽器并不知道用戶想要顯示的這段代碼只是顯示功能,而并不知道如何去顯示,所以瀏覽器就會將這段代碼解釋出來,也就是說瀏覽器中會出現(xiàn)一個彈框。
既然這段代碼是可以被執(zhí)行的,那么下面這兩種情況也就很容易就執(zhí)行了。
連接劫持
也就是,說當我們進入頁面的時候執(zhí)行到如下的代碼就會默認跳轉(zhuǎn)到百度的首頁上。當然這個連接也可以是其他的鏈接。
<script>window.location.href="http://www.baidu.com";</script>盜取Cookie
可以使用如下的腳步來獲取到網(wǎng)頁的Cookie值。
<script>alert("document.cookie");</script>對于攻擊者來說,它可以任意的編寫惡意代碼對網(wǎng)站進行攻擊,也就是將惡意代碼注入到網(wǎng)站中。這種攻擊行為就被稱為XSS。
一般的XSS攻擊可以分為如下三種情況
當然這個只是一個簡單的攻擊方式定義,實際情況下要比這些情況更加復(fù)雜。
反射型攻擊
什么是反射型攻擊?攻擊者通過,一些郵件或者是短信的方式發(fā)送連接給受害者,再配合一些短連接,誘導(dǎo)用戶點擊,用戶點擊之后,獲取到很多的用戶信息。
如下圖所示,是一個典型的反射型的XSS攻擊,通過惡意的文本,從受害者電腦上發(fā)送請求到網(wǎng)站中,網(wǎng)站響應(yīng)惡意代碼或者是程序到受害者的電腦上,最終就可以攻擊到受害者的電腦。
存儲型XSS攻擊
這種攻擊方式,會將惡意攻擊的代碼存儲到數(shù)據(jù)庫中,例如在發(fā)布評論,或者是發(fā)布一些文本內(nèi)容的時候,將惡意代碼添加到內(nèi)容之中,應(yīng)用沒有將這些惡意代碼校驗出來,這個時候當其他用戶訪問的時候,就會受到攻擊,由于是正常的評論操作,所以對于其他用戶來說的話基本上是無感知的,所以攻擊范圍比較大。
DOM型的XSS攻擊
其實DOM型攻擊是反射型攻擊的變體,在用戶進行正常訪問頁面的時候都是可以正常訪問的。而攻擊代碼就藏在這些可以正常訪問的頁面中。通過頁面彈窗,廣告等操作。誘導(dǎo)用戶進行操作最終取得很多其他用戶信息。例如有些時候在瀏覽器中會有一些彈窗廣告,用戶點擊關(guān)閉廣告的按鈕的時候發(fā)現(xiàn)根本點擊不了,這個時候就是這種情況。
相信各位小伙伴們平時在抖音也看過一些VB或者JS腳本寫的惡作劇代碼,沒錯,今天小編就是想搞事情,利用JavaScript實現(xiàn)關(guān)不掉的對話框,很好玩的哦,還可以發(fā)給別人不報毒(沒錯,這很關(guān)鍵!)好了,下面我們一起來看一下怎么做的吧~
雙擊我的電腦->組織->文件夾及搜索選項->查看
如果你的是打鉤的就把√去掉
在桌面右鍵->新建->文本文檔
雙擊文本文檔,鍵入:
<html>
<head>
<title>網(wǎng)頁惡搞程序,關(guān)不掉的彈出框</title>
</head>
<body>
<input type=button value="點我之前要有心理準備哦,我是永遠也不關(guān)不完的對話框!"
onClick="var e=1;
while(1==1)
{alert('溫馨提示:這個對話框是關(guān)不掉的!')
alert('不信那你繼續(xù)點!')
alert('那你繼續(xù)點!')
alert('繼續(xù)點!')
alert('續(xù)點!')
alert('點!')
}">
<br />
<br />
<!--任務(wù)管理器可以關(guān)哦-->
</body>
</html>
<div style="text-align:center;margin:30px 0 0 0;"><hr style="color:#999;height:1px;">
如不能顯示效果,請按Ctrl+F5刷新本頁!</a></div>
劃重點:你只需要增加alert行或者改動里面的文字就可以表達出自己想要的東西了!
例如:我在 alert('點!') 后面加一行alert('請關(guān)注Hello源代碼')然后這個死循環(huán)對話框里面就會多出這一行了
改一個能吸引別人打開的名字,并且把后綴改成html(右鍵->重命名)
like this
對了。如果是IE打開的話底層會有個阻止彈窗,允許就可以了
輕輕點一下這個butto:
然后,就像這樣:
當然,我前面注釋中也提到了,利用任務(wù)管理器就可以關(guān)掉了~
話說我呀,總算干點正事了,不然我這文章就跟這名字對不上號了~好了,老規(guī)矩,喜歡點贊關(guān)注哦~還有,成功的小伙伴請評論分享喜悅的心情,嘻嘻~
預(yù)祝大家國慶長假玩得開心~
現(xiàn)象:如下圖所示,某個網(wǎng)站復(fù)制簡單的文字內(nèi)容時,彈出登陸窗口。但是,為了幾個字就注冊登錄賬號,有些不必要。
本文分享跳過網(wǎng)頁復(fù)制限制的方法,實現(xiàn)網(wǎng)頁內(nèi)容復(fù)制。
方法一:
可以調(diào)出網(wǎng)頁源代碼定位后進行復(fù)制,大部分網(wǎng)站,可以右鍵檢查元素,快速地位。有些網(wǎng)站禁止了鼠標右鍵元素檢查功能的,可以右鍵查看源文件。也可以通過F12調(diào)出元素檢查窗口。
方法二:
通過關(guān)閉瀏覽器JS功能,突破和跳過網(wǎng)頁復(fù)制限制,進行網(wǎng)頁內(nèi)容復(fù)制
搜狗瀏覽器禁用JS的操作方法
1、首先打開搜狗瀏覽器,在瀏覽器右上方可以看到一個由三條橫線組成的“顯示菜單”圖標,使用鼠標點擊該圖標。
2、點擊之后下方會彈出一個菜單窗口,在窗口底部找到并點擊“選項”。
3、進入搜狗瀏覽器的設(shè)置頁面中后,點擊左側(cè)的安全設(shè)置,然后點擊下圖紅框所示的【內(nèi)容設(shè)置】。
4、彈出內(nèi)容設(shè)置頁面后,在Javascript項目下,選擇不允許所有網(wǎng)站運行JavaScript,然后點擊完成。
5、完成以上操作后,刷新目標網(wǎng)站后,再進行復(fù)制操作,就可以成功復(fù)制內(nèi)容了。
*請認真填寫需求信息,我們會在24小時內(nèi)與您取得聯(lián)系。
