第80章(3 / 5)

数据包，在各个设备之间流窜的时候，总是标准格式的：版本号、头长、服务类型、包裹总长、标志、段偏移、时间戳、协议代码、校验位、32位来源IP、32位目标IP、选项和最后的用户数据。

    但他们截获的Fennel的数据包中，经过了很多位数的加密内容。

    经过加密后的数据看上去杂乱无章，光用肉眼看不出任何的意义。

    楚英纵脱口而出道：“要不分析下他用的是什么加密方式？”

    “不。”时夜冷静地说，“底层分析太浪费时间。让蝰蛇做这件事，我们首先进行XSS攻击。”

    楚英纵打开了黑色的蝰蛇，然后将捕获到的数个数据包拖入其中，看蝰蛇开始自动进行分析。

    这是Signale的通用工具，能够自主对密文进行分析，快速分析出加密方式；必要的时候配合琴鸟，甚至能得到较为简单的明文和密钥。

    工具开始运转的同时，楚英纵已经回到了Facebook网页上。

    分析完网页上的全部数据，不代表它就完全没用了，其实它还能用来钓鱼！

    XSS就是这样一项攻击方式。

    只听时夜口述道：“试试关键词注入。”

    “嗯。”楚英纵点头，打开网页输入框，试着在里面敲打了一阵代码，然后发送成为一条新的仅个人可见的动态，进行测试。

    再经过刷新之后，新动态出现的同时，楚英纵的代码也生效了！

    “可以做XSS！”楚英纵惊喜道，“还真的是个筛子网站啊。看来Fennel也完全放弃了防御它……”

    XSS（Cross Site Scripting，跨站脚本攻击）的原理很简单。

    当一个网站允许用户进行输入，然后显示在网页上的时候，用户其实就相当于能将自己的输入内容注入到网页的源代码中。

    如果编写的时候程序员没有注意屏蔽掉这种注入，那么黑客完全可以突破自己的输入区，将真正的代码写成动态，也进入网页源代码中。

    而对于其他不知情的用户来讲，一旦刷到了黑客发布的这条动态，他们的浏览器就会自动认为这条动态的内容来自于这个网站——而这个网站是被信任的，所以就会运行动态中的恶意代码。

    这个过程好像鸠占鹊巢，黑客借用网站的名义，让它的所有用户执行了自己的代
    本章未完，点击下一页继续阅读