学员渗透录二十七_XSS从初级到高级之中级利用篇

学员渗透录二十七_XSS从初级到高级之中级利用篇之点击劫持

继续系列的xss高级攻击系列教程

作者：学员(ant) 编辑 mOon(暗月)
以下由学员 ant 带来的 XSS 高级攻击系列教程，请各位客官慢慢观看!
针对 XSS 漏洞的利用方式有很多， 前面我们介绍了怎么去利用 XSS 盗取用户或管理员的
COOKIE 或 SESSION，那么这次我们来利用 XSS 进行劫持。
一、什么叫点击劫持
点击劫持(clickjacking)是在页面当中插入一段恶意的 JS 代码，当用户在此页面中进行
某个操作（如：点击链接、按钮、图片或是鼠标移动等操作）时，这段代码会被执行，从而
达到攻击者的某种目的
二、点击劫持的利用方式
1、利用 iframe 透明框覆盖劫持
主要是在原页面上增加一个透明的 iframe 页面，这个透明的页面与原页面上的内容进
行组合或重合，从而欺骗用户去点击或输入。
2、利用 iframe 实体框覆盖劫持
学渗透找暗月，暗月欢迎你的加入！
日期：2014-10-16
本文档由暗月博客原创并提供下载观看。 博客 www.moonsec.com 2
主要是在原页面上增加一个实体的 iframe 页面，这个实体页面是从原网页上下载下来
的，我们可以在这个页面中任意添加我们的恶意代码
3、利用 JS 事件劫持
主要利用 JS 代码获取登陆框登陆按钮的节点，然后添加事件，当用户点击登陆时触发
事件。
三、案例：点击劫持与信息收集

详细请下载文档观赏之：

本地：学员渗透录二十七_XSS从初级到高级之中级利用篇.zip

百度网盘：链接：http://pan.baidu.com/s/1o62ZdDg 密码：lq2q