Python Penetration Testing - XSS Web Attack

交叉描述性攻击是一种注射,也指客户对手法的注射攻击。 在此,恶意守则被注入一个合法网站。 萨米族原产地政策概念非常有助于理解交叉描述的概念。 SOP是每个网络浏览器中最重要的安全支柱。 它禁止网站从另一来源的网页检索内容。 例如,网页www.tutorialspoint.com/index.html。 可查阅www.tutorialspoint.com/contact.html,但www.virus.com/index.html。 不能从www.tutorialspoint.com/contact.html获取内容。 这样,我们可以说,交叉处方的描述是绕过SOP安全政策的一种方式。

Types of XSS Attack

在本节中,让我们了解一下国际空间站攻击的不同类型。 袭击可分为以下主要类别:

Persistent or stored XSS

Non-persistent or reflected XSS

Persistent or stored XSS

在这种XSS攻击中,攻击者注射了一种称为有效载荷的文字,永久储存在目标网络应用上,例如在数据库内。 因此,它被称为持续攻击特别安全局。 这实际上是最有害的特别安全局攻击。 例如,攻击者在评论领域或论坛职位上插入恶意守则。

Non-persistent or reflected XSS

这是攻击者的有效载荷必须成为请求的一部分的最常见的XSS攻击类型,这种攻击被送至网络服务器,并反映在吉大港警察局的答复中,使吉大港警察局的载荷包括吉大港警察局要求的有效载荷。 这是一次非蓄意的攻击,因为袭击者需要向每个受害者交付有效载荷。 此类特别安全局攻击的最常见例子是,在攻击者的帮助下,使用营养化电子邮件,使受害者向服务器提出请求,该服务器载有特别安全局的有效载荷,并最后执行在浏览器内反映和执行的文字。

Example

作为SQK,XSS网络攻击可以通过操纵应用的投入数据加以实施。 在以下例子中,我们正在修改前一节中所用的“卡西”攻击病媒,以测试国际空间站的网络攻击。 下面的喷洒有助于利用mechanize分析XSS攻击。

首先,让我们进口机械化模块。

import mechanize

现在,在提交答复表后,提供URL的名称。

url = input("Enter the full url")
   attack_no = 1

我们需要从档案中读到攻击媒介。

With open (‘vectors_XSS.txt’) as x:

现在,我们将向每个弹道病媒——发出请求。

For pne in x:
   browser.open(url)
browser.select_form(nr = 0)
   browser[“id”] = pne
   res = browser.submit()
content = res.read()

以下编码线将检查印刷攻击病媒。

if content.find(pne) > 0:
print(“Possible XSS”)

下面的法典将撰写对产出档案的答复。

output = open(‘response/’ + str(attack_no) + ’.txt’, ’w’)
output.write(content)
output.close()
print attack_no
attack_no += 1

当用户对回复的打印材料未作任何验证时,XSS即发生。 因此,为了检查XSS攻击的可能性,我们可以检查我们提供的攻击病媒的应对案文。 如果在反应中出现攻击病媒,而没有任何逃跑或鉴定,那么特别安全局很有可能遭到攻击。