老生常谈,什么是XSS?什么是XSS漏洞?来看看吧
XSS是啥?
网上很多它的解释,诸如说跨站脚本攻击,将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
我们来重新定义一下(或者为了让更多人能够理解,我们重新解释一下)
比如 3 + 5 = __
这道数学题很简单吧,答案是 8 ,那它是否存在XSS漏洞呢?
答案是 有
这道题没有对答案进行限制,假如我们不知道答案是 8 ,我们可以回答 2 + 6 或者 4 + 4 ,变为 3 + 5 = 2 + 6判断结果也是正确的。这样就在我们不知道正确答案的情况下,绕过检测并正确提交。
其实,XSS也就是如此。
XSS漏洞原理
比如一个简单的输入提交
<p style=‘color:red’>你好,尊敬的______</p>
我们出其不意,尝试其他的输入,比如像这样
<p style=‘color:red’>你好啊,尊敬的 xxx<script>alert(1)</script></p>
会发生什么呢?
如果我们输入的代码被执行了,页面出现弹窗,就说明这是一个XSS漏洞。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
