http://ha.ckers.org/xss.html
关于XSS Proxy技术
关于Cross Iframe Trick的思路。让我想到了曾经看到的关于XSS Proxy的一些文章。
<a href="http://xss-proxy.sourceforge.net/Advanced_XSS_Control.txt">Advanced Cross-Site-Scripting with Real-time Remote Attacker Control</a>
,精彩之处:
的PPT。都是05年的资料了。
它的主要思想是:在有XSS漏洞(持久型或非持久型)的网站上嵌入监控脚本
,这样的脚本可以动态生成一个iframe,并可控制iframe的location值(八卦下~遨游很BT)。监控脚本
控制iframe加载同域下的其它文档,且DOM安全允许监控脚本
抓取、修改这些被加载进来的文档里的值(因为它们都在严格同域下)。接着,我们有一个控制端,可以通过这个监控脚本
与victim进行实时交互与双向通信(详细的,建议看完上面给出的两篇E文)。
。
的图:
这张图要说明的是:利用XSS Proxy技术,我们可以嫁祸他人,隐藏自己,很简单的图我就不解释了。
也很精彩,介绍了如何利用XSS Proxy技术来渗透内网。其中的一张截图:
XSS Proxy技术使得XSS的利用更加有趣,了解了这些原理,就可以考虑code出自己的利用工具了。肯定会有很多好玩新奇的东西在里面。继续挖掘吧。。。
![Javascript构建Bingo卡片游戏[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)