开发者学堂课程【网络安全攻防 - Web渗透测试:XSS 跨站脚本攻击_5】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/630/detail/9915
XSS 跨站脚本攻击_5
控制用户浏览器
1. Webcam
该模块将向用户显示 Adobe Flash“允许网络摄像头”对话框。用户必须单击允许按钮,否则此模块将不返回图片。
可以自定义说服用户的标题/文本。
可以自定义要拍摄的照片数量以及间隔时间(默认情况下需要拍摄20张照片,每秒拍摄1张照片)。
图片作为 base64编码的 JPG 字符串发送
2. Spyder Eye
该模块拍摄了受害者浏览窗口的图片
3. Get All Cookies
获取所有的 cookie
4. Inject BeEF
尝试在所有可用选项卡上注入 BeEF 挂钩
5. DNS Tunnel
DNS 隧道
6. Return Ascil Chars
返回 Ascil 字符
7. Test CORSRequest
返回图像
8. Man-In-The-Browser
此模块将使用 Man-In-The-Browser 攻击来确保 BeEF 挂钩将保持不变,直到用户离开域
(在 URL 栏中手动更改它)
9. Confirm Close Tap
在用户尝试关闭选项卡时向用户显示确认对话框。如果单击“是”,则重新显示确认对话 you can't keep 框。不适用于 Opera<12。在 Chrome 中,您无法继续打开确认对话框。(拖延用户时间)
10. Create Foreground iFrame
重写网页上的所有链接,以使用相对于所选链接的源生成100%x 100%的 iFrame。
11. Create Pop Under
创建一个新的 Pop Under(图片右下角)
12. Fake Flash Update
下载 Flash 更新
13. Google Phishing
谷歌钓鱼,窃取屏幕信息
密码被窃取
14. Pretty Theft
类似于钓鱼的形式,使用浮动div询问用户的用户名和密码。
