频道栏目
首页 > 安全 > 网站安全 > 正文

About XSS Worm

2008-01-03 00:58:31      个评论      
收藏   我要投稿

by superhei
2008-01-01
http://www.ph4nt0m.org

About XSS Worm

axis的一个tips:XSS Worm Defense[1]写到:

1. 断其源头
XSS WORM的必要条件是网站存在XSS 漏洞,而且这个XSS漏洞必须是 persistent (或者叫做 store)类型的XSS,该漏洞必须与网站的其他用户发生交互。

其实要实现XSS Worm不一定要"persistent (或者叫做 store)类型",其实XSS Worm的传播很大部分要看原程序的一些功能,对于非"persistent (或者叫做 store)类型",我们可以结合csrf/社工一样可以实现worm.

方式1:比如get类型的xss,我们可以把代码写在第3方服务器上,然后可以通过评论等方式给好友或者link的blog发url.[这样的 有可能不需要xss,只需要crsf就可以了,具体要看功能]

方式2:还记得phpbb以前的那个worm吗,利用搜索引擎传播,xss worm一样可以利用?注意你的js里不可以直接使用XHR去google等搜索[XHR不可以跨域]

你还有其他思路?

ps:以上都是乱想,并没有去实践

[1]:http://pstgroup.blogspot.com/2007/12/tipsxss-worm-defense.html

相关TAG标签
上一篇:Orkut XSS Worm的技术分析
下一篇:没有想到的网站注入点
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站