XSS盗取会话
2015-08-19 10:10:19 0 举报XSS
作者其他创作
大纲/内容
普通用户访问网站过程
该条状态会被存在服务器
浏览器(网站)
恶意用户盗取SESSION ID 过程
通过邮件、短信、微信等方式将SESSION ID及时通知给恶意用户
网站服务器
恶意用户
XSS盗取用户会话
处理SESSION ID
1.用户通过浏览器访问目标网站2.目标网站服务器会生成一个SESSION ID给浏览器3.浏览器会用COOKIE储存这个SESSION ID4.以后每次访问该网站浏览器都会将这个SESSION ID传过去
浏览该状态就会发送一个请求
恶意者服务器
COOKIE
发布一条状态
普通用户
Internet
1.恶意用户通过网站里的发布状态功能插入了一个恶意的远程JS脚本2.当普通用户访问到恶意用户发布的状态后将触发执行脚本3.恶意脚本会取到普通用户COOKIE里的SESSION ID并发送给恶意者服务器4.恶意者服务器收到这些信息后会通过邮件等方式通知告知恶意用户5.恶意用户将自己浏览器的COOKIE替换成盗取过来的6.恶意用户获得了该普通用户的所有权限
0 条评论
下一页
