只听时夜口述道:“试试关键词注入。”
“嗯。”楚英纵点头,打开网页输入框,试着在里面敲打
阵代码,然后发送成为条新
仅个人可见动态,进行测试。
再经过刷新之后,新动态出现同时,楚英纵代码也生效!
“可以做XSS!”楚英纵惊喜道,“还真是个筛子网站啊。看来Fennel也完全放弃防御它……”
XSS(CrossSiteScripting,跨站脚本攻击)原理很简单。
个正常TCP\\IP协议数据包,在各个设备之间流窜时候,总是标准格式:版本号、头长、服务类型、包裹总长、标志、段偏移、时间戳、协议代码、校验位、32位来源IP、32位目标IP、选项和最后用户数据。
但他们截获Fennel数据包中,经过很多位数加密内容。
经过加密后数据看上去杂乱无章,光用肉眼看不出任何意义。
楚英纵脱口而出道:“要不分析下他用是什
加密方式?”
“不。”时夜冷静地说,“底层分析太浪费时间。让蝰蛇做这件事,
们首先进行XSS攻击。”
准版本,猜想你之前并没有进行过类似赌局;而却有额外工具进行准备,这对你来说也不公平。为抵消这里‘不公平’,选择放弃台设备,仅此而已。】
楚英纵:“……”
时夜平静地点下头:“知道,们可以继续。”
楚英纵低声道:“没想到他也这有原则。”
时夜说:“电子世界和正常社会不太样,这里原则就是原则,是不可撼动客观规律。”
当个网站允许用户进行输入,然后显示在网页上时候,用户其实就相当于能将自己输入内容注入到网页源代码中。
如果编写时候程序员没有注意屏蔽掉这种注入,那黑客完全可以突破自己输入区,将真正代码写成动态,也进入网页源代码中。
而对于其他不知情用户来讲,旦刷到黑客发布这条动态,他们浏览器就会自动认为这条动态内容来自于这个网站——而这个网站是被信任,所以就会运行动态中恶意代码。
这个
楚英纵打开黑色蝰蛇,然后将捕获到数个数据包拖入其中,看蝰蛇开始自动进行分析。
这是Signale通用工具,能够自主对密文进行分析,快速分析出加密方式;必要时候配合琴鸟,甚至能得到较为简单明文和密钥。
工具开始运转同时,楚英纵已经回到Facebook网页上。
分析完网页上全部数据,不代表它就完全没用,其实它还能用来钓鱼!
XSS就是这样项攻击方式。
楚英纵点点头:“好像能明白你们想法。”
Fennel已经查探到他们内网是用洋葱协议进行连接,动作比他们稍微快步。
但楚英纵动作也很快,将Fennel这边网站记录快速浏览遍,很快找到Fennel内网入口。
通过对他网关进行试探性会话申请,他们很快捕获来回几个数据包。
——数据包就是Fennel5台设备之间进行交流内容,可以说就是对方军队电报。
请关闭浏览器阅读模式后查看本章节,否则可能部分章节内容会丢失。
