返回
精通javascript攻击框架:attackapi(下)

精通javascript攻击框架:attackapi(下)

ID:20957672

大小:61.00 KB

页数:5页

时间:2018-10-18

精通javascript攻击框架:attackapi(下)_第1页
精通javascript攻击框架:attackapi(下)_第2页
精通javascript攻击框架:attackapi(下)_第3页
精通javascript攻击框架:attackapi(下)_第4页
精通javascript攻击框架:attackapi(下)_第5页
资源描述:

《精通javascript攻击框架:attackapi(下)》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、精通JavaScript攻击框架:AttackAPI(下)~教育资源库  多年来客户端安全一直未引起人们的足够重视,但是如今情况发生了急剧转变,客户端安全已经成为信息安全领域的焦点之一。eout参数对扫描过程进行调优,如下所示:$A.scanPorts({target:.gnucitizen.org,ports:[80,81,443],timeout:2000,//tryeout定义了端口扫描程序等待当前受测端口响应的时间长度,超过该段时间就将其标识为已关闭。如果受害者通过代理访问内部Web资源的话,那么就扫描过程就会失败。然而,这种设置非常罕见。  注意:Firefo

2、x和Opera不能扫描低于80的端口号。这是这两个浏览器实现的一个安全特性,但是IE没有这种限制。AttackAPI还能对一个网络范围内的端口进行扫描。这种技术就是平常所说的地毯式端口扫描,还可以通过AttackAPI的sASK[无类域间路由(CIDR)]表示的地址范围。在这方面,可以使用以下代码扫描11.11.66.0的C类地址范围:$A.sweepPorts({work:10.10.56.0/24,onfound:function(port){console.log(port)},onpleted:function(){console.log(1234下一页友情提醒

3、:,特别!pleted!)}});  为了操纵您自己的网络和IP,可以使用一些AttackAPI实用程序,这些实用程序的名称和用法概述如下:varnum=$A.ip2number(10.10.56.10);//convertIPtonumberconsole.log(num)varip=$A.number2ip(num);//effectively168441866isthesameas10.10.56.10console.log(ip);varrange=$A.2range(10.10.56.0/24);//convertethod:POSTurl:(confirm_

4、promised.php);}});  下面是一个真实的攻击,并且会对Linksys的无线路由器造成损害。一旦攻击者潜入您所在的网络,他们就能够做其他的事情,例如识别不同的本地设备,并尽可能地收集更多的信息。所以用户不应该信赖来自任意页面的JavaScript代码,同时他们应该意识到在没有保护的情况下冲浪所潜在的问题。  在前面部分,我们展示了经过scanStates函数可以发现已经登录的用户。然而,这个函数还有许多其他用途。由于scanStates基于特征码,因此我们可以使用它检测不同的网络设备的类型和版本。特征码是基于远程访问资源时包含一个脚本标签所引起的错误信息的

5、,例如一个不存在的资源导致的错误跟一个由存在的资源所导致的错误是有区别的,这意味着,提供一个足够大的特征数据库,我们就可以检测不同的网络设备、企业网站等等的类型和版本。攻击者能够成功的识别出您的机构的内部网密钥体制的版本。如果其中有一些具有XSS或者CSRF漏洞,那么攻击者就可以针对性的发动攻击,从而取得受害者的会话的永久性的或者非永久性的控制权。  浏览器是有敌意的因特网和本地可信网络这两个世界间的一个沟通平台,这使它成为攻击者穿越两个世界的理想平台。在下列部分,我们将展示进入某人的路由器是多么的简单,已及攻击者上一页1234下一页友情提醒:,特别!是怎样轻松通过控制

6、其它的设备来破坏网络的完整性的。  二、劫持浏览器  XSS攻击的主要类型有两种,持久性和非持久性攻击。这里所说的持久性攻击更加危险,因为用户每次访问被感染的资源时攻击都会发生。这意味着,攻击者可以在很长一段时间内控制着用户的浏览器。  相反,非持久性XSS向量只发生在单个资源上,并且用户一旦离开被感染的页面,控制就会丢失。这意味着,攻击者只能对他们发动一次攻击。  之前我们曾提到,攻击者可以设置一个陷阱,以便获得对用户长时间的非持久性的控制。通过AttackAPI提供的一些劫持技术,我们就能达到该目的。下面考察一下如何通过该程序库来获得对受害者的浏览器的持久性但是非稳

7、定的控制。  在AttackAPI的firtest-interative.htm页面中输入下列命令:$A.hijackVie这个页面中。可尝试浏览Google,并进行一些搜索。注意,地址栏从来都不会发生任何的变化。很明显,浏览器的视窗被一个非常短的URLs所劫持了。  因为,我们所看到的内容跟地址栏中的URL毫不相干。这里的hijackVieyspace.的用户的攻击者无法读取这些用户在google.上的内容。记住,攻击者仍然能控制用户的浏览器视图。当被劫持的用户位于攻击启动域相同的域内时,攻击者可以发动大量的攻击来监视用户的活动,从而收

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。