@南馆潇湘
1年前 提问
1个回答
XSS Proxy 代理工具的局限性有哪些
在下炳尚
1年前
XSS Proxy 代理工具的局限性:
受受害者的行为以及JavaScript代码读取内容的能力所限制,只要被劫持的选项卡/窗口处于活动状态,XSS代理就可以控制受害者的浏览器。如果用户关闭选项卡/窗口,则攻击者将失去对受害者浏览器的控制。攻击者使用代码来识别被劫持的浏览器选项卡并与之通信,因此选项卡顺序中的任何更改都可能导致攻击者无法识别受感染的选项卡并失去对受害者浏览器的控制。
通过受害人的浏览器访问易受攻击的服务器域上的内容时,攻击者仅限于接收基于HTML的内容(文件或页面),并且无法接收无法通过JavaScript访问的内容(PDF,Flash对象,等等)。因此,尽管受害者根据需要或由XSS代理从易受攻击的服务器加载了PDF文件,但攻击者将无法读取其内容。