XSS -历史盗窃
XSS -历史盗窃
提问于 2014-07-03 01:43:12
我对这件事有点困惑。只需编写一个JavaScript代码,我们就可以浏览浏览器历史并识别已访问的链接。它是好的。但攻击者如何利用这个来识别受害者的历史记录。本质上,代码必须在受害者的浏览器上执行。
我知道有XSS攻击方法,持久化的,非持久化的,基于DOM的等等。攻击者应该使用这些方法之一吗?还是有别的办法?有人能给出样本代码吗?
虽然这里(XSS攻击跨站点脚本攻击和防御-V等)攻击方法(历史窃取)是明确的,但攻击者如何接收历史尚不清楚.我感兴趣的是攻击者如何真正接收从code.For收集的历史信息--一个例子,在cookie窃取中,它是通过url发送给attacker.likewise的.
任何帮助都是非常感谢的。
回答 1
Security用户
回答已采纳
发布于 2014-07-03 05:50:48
Michal (又名lcamtuf )最近发表了一些有趣的文章,并展示了一些关于如何在现代浏览器中使用它的口袋和解释:
- 先读: post @ bugtraq
- CSS布尔代数的历史盗窃
- 保卫你的飞船!
令人印象深刻的研究
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/62351
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号