我一直在阅读有关XSS的文章,我用文本和提交输入做了一个简单的表单,但是当我执行它时,没有任何反应,服务器获取该字符串,就是这样.
我该怎么办才能让它变得脆弱?(然后我会学到我不应该做的事情)
干杯.
让服务器将输入输出回客户端.
实际上,只需让服务器输出它,以便输入字符串有效地嵌入到HTML源代码中,然后返回给客户端.
PHP示例:
XSS test
Result:
JSP示例:
XSS test
Result: ${param.xss}
或者,您可以重新显示输入元素中的值,这也经常出现:
RESP.
这样"怪异"的攻击字符串 XSS预防解决方案等"/>
htmlspecialchars(),并fn:escapeXml()分别对PHP和JSP.这些将在其他替代<,>并"通过<,>并"让终端用户输入不落得字面嵌入在HTML源代码,而是刚刚显示有人进来.
京公网安备 11010802040832号 | 京ICP备19059560号-6 