博文
题记:这是我在《黑客X档案》08年第5期发表的一篇文章,对跨站与挂马做了比较全面而深入的讲解。
转载请注明版权:http://a1pass.blog.163.com/ A1Pass 《黑客X档案》
现在的黑客攻击手法中,跨站挂马似乎正在逐渐成为攻击的主流话题,鉴于这种形势,俺就把我学习跨站挂马的一点心得总结出来与大家分享。
由于考虑到知识的认知过程以及入门朋友们的技术底子问题,本文将分为“基础知识”、“跨站漏洞”与“挂马技巧”三部分组成,咱们先来学习一下基础知识,以及跨站攻击的利用方法。
一、基础知识
1、什么是UBB码
XSS攻击主要在两种环境下进行,一个是用户自己构造的比标签,构造者汇总标签要严格遵循 HTML标记语言,而UBB码是HTML的一个变种,属于系统提供的标签。UBB代码简单,功能很少,但是由于其TAG语法检查实现非常容易,所以许多网 站引用了这种代码,以方便广大网友的使用,当然,同时也为我们打开了方便之门。
下面我列出几个例子,以便大家对UBB码有一个感性的认识。
显示为粗体效果:文字
显示为斜体效果:文字
显示文字的超链接:[URL= http://www.hackerxfiles.net/]黑客X档案官方站[/ URL]
通过上面的例子,我们可以看出来UBB码用的是中括号标签“[”与“]”。
为什么介绍这些?因为关键时候,我们借助UBB码也可以达到跨站的效果。
2、什么是HTML输入
大家看到这的时候,有条件的可以打开X档案的网站看看,我们在IE浏览器的页面中单击右键,选择“察看源文件(V)”选项,如图1。
然后就会弹出如图2那样一个以首页文件命名的记事本。
我们可以看见里面的代码都是用“<”与“>”括起来的,而这个“<”与 “>”分别就是HTML的开始与结束标记。例如我们输入、<"width="120" height="120" />三个单独的语句,我们可爱的
&{[code]} [N4浏览器]