[web安全]黑客攻防技术宝典-浏览器实战篇--XSS Samy Worm

最新推荐文章于 2021-04-10 00:41:35 发布
原创 最新推荐文章于 2021-04-10 00:41:35 发布 · 1.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
https://hzeyuan.cn/
文章标签:

#web安全 #xss #samy worm #黑客攻防技术宝典

本文深入探讨了Samy蠕虫病毒,一种迅速感染MySpace用户的恶意软件,24小时内感染超100万用户。文章详细介绍了病毒的传播机制及绕过防御策略,包括利用div的background:url执行JS、通过style属性运行指令、使用eval函数等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

今天想了解一下书中介绍的Samy蠕虫病毒。
这是一个在24小时内感染了100多万MySpace用户的病毒,传播速度很快。

总结了下主要绕过的手段:

1.通过div的background:url参数执行初始的Javascript。
2.把代码储存到表达式,通过style属性运行指令,绕过单引号和双引号转义。
4.通过换行符绕过单词javascript的过滤。
5.使用String.fromCharCode(),把整数转成ASCII的方法插入单双引号。
6.合理利用eval函数,绕过一些关键词。

这是参考的文章,里面有源代码。
https://www.cnblogs.com/milantgh/p/3655070.html

web安全攻防实战
qq_44806973的博客
09-02 1804
WEB安全渗透工具docker容器安装三级目录 渗透工具 1.burpsuite 2.curl 3.postman 4.wappalyzer 5.hackbar docker容器安装 [docker下载地址(https://www.docker.com/products/docker-desktop) 三级目录
黑客攻防技术宝典浏览器实战篇 -- 上篇(笔记)
爱学习的程序媛
09-14 1597
读《黑客攻防技术宝典浏览器实战篇》书籍做的笔记。
安全技术大师学习黑客攻防技术 ——《黑客攻防技术宝典web实战篇
图灵教育
07-21 3232
安全技术大师学习黑客攻防技术——《黑客攻防技术宝典web实战篇》随着网络技术的快速发展以及网络带宽的不断扩张,Web应用程序几乎无处不在,渗透到社会的经济、文化、娱乐等各个方面。但同时,承载着丰富功能与用途的Web应用程序也成为恶意用户与黑客等攻击者的主要攻击目标。因此,如何确保Web应用程序的安全已成为政府、企业,特别是银行等金融机构所面临
全面分析Web应用程序安全漏洞——《黑客攻防技术宝典web实战篇
图灵教育
07-21 1406
媒体评论“想成为Web安全高手吗?读这本书吧,你一定不会失望!”                                  ——Amazon.com“没有空洞的理论和概念,也没有深奥的行话,除了实战经验,还是实战经验……”                                    ——blackhat.com 
黑客攻防技术宝典浏览器实战篇
banyingcheng7736的博客
07-04 509
黑客攻防技术宝典浏览器实战篇   下载:   链接:https://pan.baidu.com/s/1ypyRzCj-5UCCKQxsDPUBCQ   提取码:x858   本书由世界顶尖级黑客打造,细致讲解了IE、Firefox、Chrome等主流浏览器及其扩展和应用上的安全问题和漏洞,介绍了大量的攻击和防御技术,具体内容包括:初始控制,持续控制,绕过同源策略,攻击用户、浏览器、扩...
黑客攻防技术宝典Web实战篇(第2版)1
08-03
黑客攻防技术宝典Web实战篇(第2版)》是一本专注于Web应用程序安全的实战指南,由Dafydd Stuttard和Marcus Pinto撰写,由石华耀和傅志红翻译。该书深入浅出地探讨了Web应用程序的安全风险和攻防策略,适合网络...
网络安全 - Web 安全攻防 - 反射型 XSS 实验包 - ReflectiveXSSLab.zip
09-22
**ReflectiveXSSLab.zip** 是一个专注于网络安全领域中 Web 安全攻防实战的实验包,特别针对反射型 XSS(跨站脚本攻击)进行设计。反射型 XSS 是一种常见的 Web 安全漏洞,攻击者通过在 URL 参数中注入恶意脚本,当...
网络安全 - Web 安全攻防 - DOM 型 XSS 实验包 - DOMBasedXSSLab.zip
最新发布
09-22
**DOMBasedXSSLab.zip** 是一个专注于 Web 安全攻防技术,特别是 DOM 型 XSS(跨站脚本攻击)的实验包。DOM 型 XSS 是一种发生在客户端的脚本安全漏洞,攻击者通过操纵 Web 页面的 DOM 来插入恶意脚本,从而在用户的...
WEB渗透学习-XSS-labs靶场
04-20
**XSS(跨站脚本攻击)学习指南:XSS-labs靶场详解** XSS,全称为Cross-Site Scripting,是网络安全领域常见的漏洞类型之一。它允许攻击者通过注入恶意脚本到Web页面中,进而对用户浏览器进行操控。XSS-labs是一个...
Web安全的三个XSS-CSRF-CLICK攻防姿
11-01
本篇讨论的Web安全的三个攻防姿态主要聚焦于XSS(跨站脚本攻击)、CSRF(跨站请求伪造)、以及clickjacking(点击劫持/UI-覆盖攻击)。 XSS攻击是一种常见的Web安全威胁,恶意攻击者通过将恶意脚本代码嵌入到Web...
[web安全]黑客攻防技术宝典-浏览器实战篇--第二章习题答案
hzeyuan.cn
12-24 1340
大致看了下第二章,对文章里面的细节在慢慢学习。 #####(1) 攻击者如果想要在浏览器中执行自己的代码,需要采取哪些措施? ######1.使用xss攻击 浏览器执行了一些本不该执行的恶意脚本,导致信息泄露,篡改。 ######2.使用有隐患的web应用 攻击者获取对浏览器访问权的一种方式。获取访问权后,攻击者可以修改网页内容以包含恶意代码。 ######3.使用网络广告 利用广告网络在浏览器中...
[web安全]黑客攻防技术宝典-浏览器实战篇--钓鱼攻击
hzeyuan.cn
12-27 2470
钓鱼攻击是获得用户敏感信息的一种方法。钓鱼攻击的目标通常是在线银行用户、PayPal、eBay等。 主要形式: 1.电子邮件钓鱼 群发邮件,欺骗用户点击恶意的链接或附件,获取有价值的信息。 2.网站钓鱼 在网站上伪造一个网站,通常是模仿合法的某个网站。为了欺骗用户点击这个网站还会采取些辅助技术,比如钓鱼邮件,短信,电话啊。 3.鱼叉式钓鱼 经常也需要使用一个欺骗性的网站,但诱饵针对一小群目标受...
黑客攻防技术宝典Web实战篇第2版—第1章Web应用程序安全与风险
渣渣
07-18 1025
1.1 Web应用程序的发展历程 早期万维网仅由站点组成,显示的是静态文档的信息库。 如今大多数站点是应用程序,服务器与浏览器之间双向信息传递。 随之而来的也有安全威胁。 1.1.1 Web应用程序的常见功能 一些常见功能,不再列举。 1.1.2 Web应用程序的优点 Http是万维网核心协议,轻量级,无需连接。 每个Web用户在计算机或者其它设备上安装了浏览器浏览器内容丰富...
Samy XSS Worm 分析
1ame的博客
07-22 2039
Samy Worm MySpace.com允许用户通过控制标签的style属性,samy构造css xss。 MySpace过滤了很多关键字,利用拆分法绕过。 div标签如下: <div id = mycode style="BACKGROUND: url('javascript:eval(document.all.mycode.expr)')" expr=" "> 其中e
黑客攻防技术宝典Web实战篇(三)web攻击方式总结
12-24 170
web攻击的手段无非就是使服务器资源耗尽,使服务器无法接收正常请求。 一、DDos攻击 二、DRDos攻击 三、慢攻击 与Ddos攻击相反,慢攻击并不是以多取胜,而是靠保持连接。 转载于:https://www.cnblogs.com/yaochc/p/5074378.html...
Samy XSS Worm之源码讲解
weixin_34138056的博客
04-09 464
说到Web安全XSS跨站脚本技术,几乎所有的书都会提到Samy Worm,这是在2005年感染了mySpace社交网络上百万用户的蠕虫。正如Morris蠕虫是互联网第一个蠕虫, Samy Worm则是第一个XSS的蠕虫。因此研究XSS技术最好了解一下这个只要浏览了profile就自动把对方加为好友并列为偶像的代码的实现技术。 以下是根据对Samy Worm分析的文章进行的大致翻译: 1)  ...
黑客攻防技术宝典-Web实战篇——第二章、核心防御机制(一)
wwwmeymar的博客
01-10 1264
第二章、核心防御机制(一) 在 上一章 中我们讲到web应用程序的核心问题在于用户可以提交任何输入,那么相对应的防御机制也大都是针对用户的请求进行处理防御 下面是防御机制的核心因素: 处理用户访问应用程序的数据和功能,防止用户获得未授权访问。 处理用户访问程序的输入,防止错误输入造成不良行为 处理攻击者,确保应用程序在成为攻击目标时能正常运转。并采取攻击措施挫败攻击者。 管理应用程序本身,帮助管...
XSS攻击——SamyWorm 源代码分析
z646683869的博客
04-10 1544
在2005 年,年仅19 岁的Samy Kamkar 发起了对MySpac巳.com 的XSS Worm 攻击。Samy Kamkar 的蠕虫在短短几小时内就感染了100 万用户一一它在每个用户的自我简介后边加了一句话"but most of all, Samy is my hero." (Samy 是我的偶像〉。这是Web 安全史上第一个重量级的XSS Worm ,具有里程碑意义。 以下为根据对Samy Worm分析的文章进行的格式整理,方便阅读: MySpace 过滤了很多危险的HTML 标签,只保留
黑客攻防技术宝典_web实战篇--9章节详细: 测试逻辑缺陷
moxucui7221的博客
03-13 459
9.1 确定关键受攻击面 9.3 测试不完整的输入 9.4 测试信任边界 9.5 测试交易逻辑
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值