帅末
2
帅末2
XSS Proxy 代理工具的局限性:
受受害者的行为以及JavaScript代码读取内容的能力所限制,只要被劫持的选项卡/窗口处于活动状态,XSS代理就可以控制受害者的浏览器。如果用户关闭选项卡/窗口,则攻击者将失去对受害者浏览器的控制。攻击者使用代码来识别被劫持的浏览器选项卡并与之通信,因此选项卡顺序中的任何更改都可能导致攻击者无法识别受感染的选项卡并失去对受害者浏览器的控制。
通过受害人的浏览器访问易受攻击的服务器域上的内容时,攻击者仅限于接收基于HTML的内容(文件或页面),并且无法接收无法通过JavaScript访问的内容(PDF,Flash对象,等等)。因此,尽管受害者根据需要或由XSS代理从易受攻击的服务器加载了PDF文件,但攻击者将无法读取其内容。
Ann
2
等保高级测评师
NISP
Ann2
等保高级测评师
NISP
XSS Proxy 代理工具的局限性:
受受害者的行为以及JavaScript代码读取内容的能力所限制,只要被劫持的选项卡/窗口处于活动状态,XSS代理就可以控制受害者的浏览器。如果用户关闭选项卡/窗口,则攻击者将失去对受害者浏览器的控制。攻击者使用代码来识别被劫持的浏览器选项卡并与之通信,因此选项卡顺序中的任何更改都可能导致攻击者无法识别受感染的选项卡并失去对受害者浏览器的控制。
通过受害人的浏览器访问易受攻击的服务器域上的内容时,攻击者仅限于接收基于HTML的内容(文件或页面),并且无法接收无法通过JavaScript访问的内容(PDF,Flash对象,等等)。因此,尽管受害者根据需要或由XSS代理从易受攻击的服务器加载了PDF文件,但攻击者将无法读取其内容。
推荐文章
