nnel的
页后
,将所有账户登录的历史记录给拉
来。
而此时,他们却同时注意到,Fennel也更新了
条
态。
【Fennel:142.10.2.123,gry,gq245】
“?”
楚英纵结结实实
愣住!
时夜也侧目看了过来,眉
微微蹙起,说:“问问他什么意思。”
楚英纵打字挺快,噼
啪啦在Fennel的态留言。
【Signale:什么意思?】
【Fennel:自放弃我的其
设备。别误会,这并不是向你投降,只是为了抵消你的劣势而已。现在华
是深夜3点多,对你的作息来说也是不小的挑战吧?而且,我注意到你使用了洋葱络的标准
本,猜想你之前并没有进行过类似的赌
;而我却有额外的工
进行准备,这对你来说也不
平。为了抵消这的‘不平’,我选择放弃设备,仅此而已。】
楚英纵:“……”
时夜平静点了:“知道了,我们可以继续了。”
楚英纵低声道:“没想到他也这么有原则。”
时夜说:“电子世界和正常的社会不太样,这的原则就是原则,是不可撼的客观规律。”
楚英纵点点:“我好像能明
你们的想
了。”
Fennel已经查探到了他们的
是用洋葱协议进行连接的,作比他们稍微快了步。
但楚英纵作也很快,将Fennel这边的站记录快速浏览了遍,很快找到了Fennel的入口。
通过对他的关进行试探
的会话申请,他们很快捕获了来回的几个数据包。
——数据包就是Fennel的5设备之间进行
的
,可以说就是对方军队的电报。
个正常的TCP\\IP协议数据包,在各个设备之间窜的时候,总是标准格式的:本号、长、服务类型、包裹总长、标志、段偏移、时间戳、协议
码、校验位、32位来源IP、32位目标IP、选项和
后的用户数据。
但他们截获的Fennel的数据包,经过了很多位数的加密。
经过加密后的数据看
去杂
无章,
用
看不
任何的意
。
楚英纵脱口而道:“要不分析他用的是什么加密方式?”
“不。”时夜冷静说,“底层分析太
费时间。让蝰蛇
这
事,我们
先进行XSS攻击。”
楚英纵打开了黑
的蝰蛇,然后将捕获到的数个数据包拖入其,看蝰蛇开始自进行分析。
这是Signale的通用工,能够自
对密文进行分析,快速分析加密方式;必要的时候配
琴鸟,甚至能得到较为简单的明文和密钥。
工开始运转的同时,楚英纵已经回到了Facebook页。
分析完页的全部数据,不表它就完全没用了,其实它还能用来钓鱼!
XSS就是这样项攻击方式。
只听时夜口述道:“试试关键词注入。”
“嗯。”楚英纵点,打开页输入框,试着在面敲打了阵码,然后
送成为条新的仅个
可见的态,进行测试。
再经过刷新之后,新态现的同时,楚英纵的码也
效了!
“可以XSS!”楚英纵惊喜道,“还真的是个筛子站啊。看来Fennel也完全放弃了防御它……”
XSS(Cross Site Scripting,跨站脚本攻击)的原理很简单。
当个站允许用户进行输入,然后显示在页的时候,用户其实就相当于能将自己的输入注入到页的源码。
如果编写的时候程序员没有注意屏蔽掉这种注入,那么黑客完全可以突破自己的输入区,将真正的码写成态,也进入页源码。
而对于其他不知
的用户来讲,旦刷到了黑客
的这条态,他们的浏览器就会自认为这条态的来自于这个站——而这个站是被信任的,所以就会运行态的恶意码。
这个过程好像鸠占鹊巢,黑客借用站的名,让它的所有用户执行了自己的码。
晨3:30分,楚英纵将
心编写好的XSS脚本注入到了新态。
【Signale:嗯。】
虽然只有短短的个“嗯”字,但其实这条态的体量长达数KB,之所以只显示这么短,当然是利用了页的码
,将后续隐藏显示,而成为了源码的部分。
而这些码的目的很简单:让观看者自载个木
病
!
这样来,旦Fennel看到这条态,就可能会载木。
此时同时间,按照规则,Fennel也了新态。
【Fennel:不知道你进度如何?我已经找到了你的
层跳板。】
楚英纵看到这条态,呼
不由急促了点,说:“他作怎么这么快?是不是已经在进攻我们的某设备了?我要不要打开防火墙看看记录?”
“不用着急,
必是真的。”时夜冷静道,“既然
罐没有报警,我们继续进攻。”
楚英纵等待了会
,后木却始终没有被载。
