利达文学网

第80章（第3页）

“不。”

时夜冷静地说，“底层分析太浪费时间。

让蝰蛇做这件事，我们首先进行xss攻击。”

楚英纵打开了黑色的蝰蛇，然后将捕获到的数个数据包拖入其中，看蝰蛇开始自动进行分析。

这是signale的通用工具，能够自主对密文进行分析，快速分析出加密方式；必要的时候配合琴鸟，甚至能得到较为简单的明文和密钥。

工具开始运转的同时，楚英纵已经回到了facebook网页上。

分析完网页上的全部数据，不代表它就完全没用了，其实它还能用来钓鱼！

xss就是这样一项攻击方式。

只听时夜口述道：“试试关键词注入。”

“嗯。”

楚英纵点头，打开网页输入框，试着在里面敲打了一阵代码，然后发送成为一条新的仅个人可见的动态，进行测试。

再经过刷新之后，新动态出现的同时，楚英纵的代码也生效了！

“可以做xss！”

楚英纵惊喜道，“还真的是个筛子网站啊。

看来fennel也完全放弃了防御它……”

xss（crosssitescripting，跨站脚本攻击）的原理很简单。

当一个网站允许用户进行输入，然后显示在网页上的时候，用户其实就相当于能将自己的输入内容注入到网页的源代码中。

如果编写的时候程序员没有注意屏蔽掉这种注入，那么黑客完全可以突破自己的输入区，将真正的代码写成动态，也进入网页源代码中。

而对于其他不知情的用户来讲，一旦刷到了黑客发布的这条动态，他们的浏览器就会自动认为这条动态的内容来自于这个网站——而这个网站是被信任的，所以就会运行动态中的恶意代码。

这个过程好像鸠占鹊巢，黑客借用网站的名义，让它的所有用户执行了自己的代码。

凌晨3:30分，楚英纵将精心编写好的xss脚本注入到了新动态中。

【signale：嗯。

】

虽然只有短短的一个“嗯”

字，但其实这条动态的体量长达数kb，之所以只显示这么短，当然是利用了网页的代码漏洞，将后续内容隐藏显示，而成为了源代码的一部分。

而这些代码的目的很简单：让观看者自动下载一个木马病毒！

这样一来，一旦fennel看到这条动态，就可能会下载木马。

此时同一时间，按照规则，fennel也发布了新动态。

【fennel：不知道你进度如何？我已经找到了你的第一层跳板。

】

楚英纵看到这条动态，呼吸不由急促了一点，说：“他动作怎么这么快？是不是已经在进攻我们的某一台设备了？我要不要打开防火墙看看记录？”

“不用着急，未必是真的。”

时夜冷静道，“既然蜜罐没有报警，我们继续进攻。”

请关闭浏览器阅读模式后查看本章节，否则将出现无法翻页或章节内容丢失等现象。