今回は、AJAX インジェクションの使用方法について詳しく説明します。AJAX インジェクションを使用する際の 注意事項 は何ですか?実際の事例を見てみましょう。
object status 属性を使用して、返された結果が正しいかどうかを判断します。 GET タイプの AJAX は URL 内のパラメータ値を直接構築します。 POST タイプの AJAX は XHR オブジェクトの送信メソッドを構築します。
AJAX を使用すると、データをバックグラウンドでサイレントに処理できます。JS スクリプトとこの AJAX モジュールを同じドメインに作成する方法があれば、この XSS を使用して二次攻撃を完了でき、ステータスを通じてそれを判断できます。 XHR オブジェクトの属性 結果が正しいかどうかを返します。 GET タイプの AJAX は URL 内のパラメータ値を直接構築します。POST タイプの AJAX は XHR オブジェクトの send メソッド内のパラメータ値を構築します。 一般に、AJAX を使用した攻撃は、ユーザーに検出してほしくない限り、ユーザーが検出するのは困難です。 Firefox のプラグイン
firebug は、すべての XHR アクションを分析できます: セキュリティ
をローカル ドメインの AJAXモジュラー Web プログラムを検出するにはどうすればよいですか? AJAX はドメイン間でデータを直接転送できませんが、ローカル ドメイン内のターゲット AJAX モジュールを使用してデータを転送できます。私の To Do/プロジェクトで実験してみましょう。次のコード: alert(_x)
function check_login(){ var up="up=" escape('余弦') "|" "1234567"; _x.open("POST","http://www.0x37.com/Project/login.asp",true); _x.setRequestHeader("Content-Type","application/x-www-form-urlencoded"); _x.onreadystatechange=function() { if(_x.readyState==4) { if(_x.status==200) { alert(_x.responseText); } } } _x.send(up); } check_login(); //logout();
この記事の事例を読んだ後は、この方法を習得したと思います。さらに興味深い情報については、php 中国語 Web サイトの他の関連記事に注目してください。
推奨読書:
JQuery が JS 配列とオブジェクトを操作する手順の詳細な説明 jQuery が配列と JSON オブジェクトを走査およびフィルタリングするためのメソッドのコレクション以上がAJAXインジェクションの使い方を詳しく解説の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。