还在学校上课的时候
某堂课的老师跟我们分享他在准备CEH的考试
老师示范了Cross Site Scripting的攻击
学习写Web Javascript以来
我从来没想过要在input中放入script的内容(乖乖的User思维)
alert弹出来的瞬间
就好像在变魔术一样非常震撼....原来还有这一招??!
至今依旧难忘
Cross Site Scripting主要分为三种
让使用者所输入的资料,使Script被应用执行
得以在他人网站中执行Javascript
常见搭配社交工程,配合有问题的连结传给受害者,让受害者自行点击。
回应将於使用者端直接运行script的代码
由於攻击者可以控制在受害者浏览器中执行的script
表单提示请输入姓名
尝试输入Bill,得到结果如下:
上方网址列显示为
http://172.17.0.2/vulnerabilities/xss_r/?name=Bill#
<script>alert('xss test')</script>
http://172.17.0.2/vulnerabilities/xss_r/?name=<script>alert('xss test')</script>#
script也可改用16进位的值取代一些关键字
於留言板的内容送出
<script>alert('123456')</script>
当下一次点击至同一画面时
由於我们送出的script已被储存
将呈现下图的结果
由於我们可以利用DOM(Document Object Model)
使javascript在执行过程中不必透过服务器也能动态地产生网页
这类型如使用了innerHTML的语法,造成了script的注入机会
而javascript将恶意的代码放入DOM中,导致浏览器执行此恶意的代码
<<: [2021铁人赛 Day15] General Skills 12
ORM (Object Relational Mapping) 是目前在做资料库应用程序中,用来定义...
今天蒐集了几个监控服务跟大家分享, 由於我们是学生没有什麽经费,所以我们优先关注开源免费的服务 XD...
早起运动Day5-自我对谈 在运动时也会想起相遇过的人,看过的书,经验过的故事。 『看起...
前两章我们已经透过 NFS 与 iSCSI 两种通讯协定将储存服务器挂接进来给 Proxmox V...
这里连结上一天说的内容,上一天没有举例,因为有点篇幅太多了,所以直接在今天的开头写个例子~~ <...