[翻译]”Psecudo-Reflective” 跨站蠕虫剖析
本文发表于《黑客防线》
作者:Kyran
译者:riusksk ( 泉哥 )
1.前言
XSS(Cross-Site Scripting )攻击主要有两种类型,一种叫永久型(persistent),它存储在服务端,只不过需要用户访问存在漏洞的页面;另一种叫反射型 (reflective),它存在URI中,需要用户点击链接才能触发。永久型XSS漏洞被认为更为危险,但反射型XSS漏洞更为普遍。大部分的 javascript worm都是使用永久型XSS漏洞进行攻击的。在“pseudo-reflective”蠕虫的第一版本诞生前,还没有一使用reflective payload 编写的XSS蠕虫的案例记载。本文将向您展示如何通过使用reflective payload来编写蠕虫以达到永久性传播的目的。
阅读全文 »