1、截获会话令牌,劫持用户的会话。(可以作为你访问你的QQ空间。)
2、虚拟置换:改变页面的现实内容,欺骗用户。(例如,替换一篇新闻的内容和标题等等。。。)
3、注入HTML木马:显示虚假的登录框,诱使用户输入用户名和密码等。
4、诱使用户执行特定操作:在xss代码中带上攻击代码,操作用户的浏览器执行恶意操作。
5、利用浏览器的信任关系:
1、截取自动完成功能的表单。
2、利用用户的可信站运行恶意代码,可以启动计算器等。
3、攻击ActiveX控件。
6、获取本地IP地址,目前测试只能在IE、谷歌和火狐浏览器下,opera不行。
