百度xss盗号（百度被盗号）

如何使用xss平台盗取cookie

截取的是你的网站的 xss真正的原理是将代码插入到某个网页里面，当浏览器访问这个网页的时候，就会执行你写的代码。如果这个代码具有获取cookies的功能，即可获得当前页面的cookies 然而不同的网站cookies是不同的，也是不允许互相访问的。

XSS攻击原理是什么？

什么是XSS攻击XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的。XSS属于被动式的攻击，因为其被动且不好利用，所以许多人常忽略其危害性。而本文主要讲的是利用XSS得到目标服务器的shell。技术虽然是老技术，但是其思路希望对大家有帮助。 [编辑本段]如何寻找XSS漏洞就个人而言，我把XSS攻击分成两类，一类是来自内部的攻击，主要指的是利用程序自身的漏洞，构造跨站语句，如:dvbbs的showerror.asp存在的跨站漏洞。另一类则是来来自外部的攻击，主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点，我们自己构造一个有跨站漏洞的网页，然后构造跨站语句，通过结合其它技术，如社会工程学等，欺骗目标服务器的管理员打开。

浏览小网站危害 浏览危险网站有何危害

1、遭遇钓鱼网站。

网上冲浪遇到最多的危险网站就是钓鱼网站，这个主要是模仿各个真实的网站，为了套取你的账户和密码。

既然钓鱼网站是为了盗取你的账户和密码，那么只有你正确输入了你的账户和密码，那才会被盗号，所以这时候你首先选择授权登录，通过授权登录能很好的避开被钓鱼的风险，当然你也可以故意之一次把密码输入错误，如果他显示登录成功了，那么必然是钓鱼网站，当然，有的钓鱼网站利用了官方的接口，能通过官方的接口判断，那又是比较高明的，这就只能用域名判断了。

所以这之一种链接，不会对设备造成危害，大部分钓鱼网站都是抽奖、刷钻、抽皮肤之类的，不贪图这些小便宜，稍微能动动脑子的，大部分应该不会上当。

2、遭到XSS攻击。

假设你正在访问一个页面，这个页面里边包含了xss链接，可能会上传你的cookie等一些敏感信息，不过也没什么大事，现在不会有人把账户密码存放在cookie的，如果有，那肯定也是笨蛋程序员做的小网站，这样的小网站，你专门给这种小网站准备个简单的密码用，比如123456abc这种，即使这种小网站的密码被盗了，也无伤大雅。

那么这会不会有一些病毒传播之类的?说真的，还真的会，不过请相信你的浏览器，他们给这些网页的权限很低，最多打开这些网页链接用你的设备挖矿啥的，及时关了就行，跟何况这些主要是针对电脑的，手机无碍。

3、恶意弹窗广告。

这种情况是最常见的，可以对计算机硬件不会造成多多少影响，但不断弹出弹框、弹出网页，或者播放声音还是能让人不胜其烦。

4、感染木马和病毒。

浏览危险网站时后台可能会主动下载木马或者病毒。不过这些恶意程序想要执行还是需要权限的，不给执行权限或者不运行可疑程序还是不会造成什么危害的。

5、遭遇漏洞攻击。

如果设备存在漏洞，专门针对这种漏洞做的链接，确实有很大危害，手机的我没见过，电脑的很常见，比如之前我测试过一个office漏洞，只要你电脑上的office存在这个漏洞，点一下这个比较特殊的链接，我就能获取你电脑的权限。这个确实比较危险，但是手机上的这种攻击方式我没见过，有懂这个的可以补充。

XSS攻击的受攻击事件

新浪微博XSS受攻击事件

2011年6月28日晚，新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如：“郭美美事件的一些未注意到的细节”，“建党大业中穿帮的地方”，“让女人心动的100句诗歌”，“3D肉团团高清普通话版种子”，“这是传说中的神仙眷侣啊”，“惊爆!范冰冰艳照真流出了”等等微博和私信，并自动关注一位名为hellosamy的用户。

事件的经过线索如下：

20:14，开始有大量带V的认证用户中招转发蠕虫

20:30，某网站中的病毒页面无法访问

20:32，新浪微博中hellosamy用户无法访问

21:02，新浪漏洞修补完毕

百度贴吧xss攻击事件

2014年3月9晚，六安吧等几十个贴吧出现点击推广贴会自动转发等。并且吧友所关注的每个关注的贴吧都会转一遍，病毒循环发帖。并且导致吧务人员，和吧友被封禁。