2014-01-16 7 views
0

http://www.andlabs.org/tools/jsrecon.html을 방문했으며 을 사용하여 클라이언트 네트워크에서 port-scan을 수행 할 수 있습니다. 나는 누군가이 웹 사이트에 xss 취약점을 포함시키지 않고 귀하의 네트워크를 스캔하고 있기 때문에이 기술에 대해 혼란스러워지고 있습니다. 그런 다음 cmd을 사용하여 Trojan 또는 사용자 정의 가능한 .exe을 클라이언트 측에 설치할 수없는 이유는 무엇입니까?포트 스캐너 포털은 어떻게 작동합니까?

내가 틀렸다고 정정하십시오.

답변

0

"Trojan"또는 ".exe"에 관한 질문을 이해할 수 없지만이 웹 사이트에서는 브라우저가 로컬 네트워크에서 어떤 작업을 수행하도록 지시하고 "네트워크" 스캐닝".

이 웹 사이트는 매우 간단합니다 : 로컬로 (즉,이 웹 사이트를 표시하는 브라우저)으로 실행되는 일부 JavaScript (JS) 코드를 제공합니다. JS 코드는 로컬 네트워크를 '검색'하기 위해 브라우저의 websocket (및 기타) 기술을 사용하고 있습니다. (이것이 의미하는 바는 무엇이든, 코드의 세부 사항을 파고 들지 않았습니다.)

+0

이 웹 사이트가 명령을 실행하기 위해 브라우저에 명령하고있는 것은 사실이며 이것은 'XSS'(브라우저 제어)입니다. 이것을 할 수 있다면 왜 브라우저에 '미터기'연결을 지시 할 수 없습니까? –

+0

metasploit을 파기 전에 보안/네트워크 기술에 대해 더 잘 이해해야합니다. XSS는 * 크로스 * 사이트 스크립팅입니다. 즉, 다른 웹 사이트 (또는 도메인)에서 오는 코드를 모르는 상태에서 * 실행하는 * 웹 사이트를 신뢰하는 경우입니다. andlabs.org를로드하고 ** JS 코드를 실행할 수있게 허용하면 Google, Facebook 및 좋아하는 뉴스 매거진을 신뢰하는 것처럼이 웹 사이트를 신뢰할 수 있습니다. bar.com에서 코드를로드하고 실행하면 foo.com을로드하면 XSS가됩니다. –