58码农网 > 码农学院 >

【Hacker101 CTF】Micro-CMS v1:如何製造XSS可攻击的程式码?

用户投稿 发布于2024-05-18

当页面的内容可以允许使用者输入,例如:线上笔记软体, 聊天对话框,如果没有适当的检核直接进行储存,甚至进行执行,就有可能有XSS的疑虑。

/* 正常下 */const q = 'hello' // 从网址列拿下来的参数document.querySelector('.search').innerHTML = q // 将参数传输到用户页面/* XSS */const q = <script>alert(1)</script> // 从网址列拿下来的参数document.querySelector('.search').innerHTML = q // 将参数传输到用户页面****

以上的程式码中,如果伺服器没有使用一些过滤内容的措施,恶意的程式码就有可能被嵌入到网站。

Reference:

浅谈 XSS 攻击与防御的各个环节Top 500 Most Important XSS Script Cheat Sheet for Web Application Penetration Testing零基础资安系列(二)-认识 XSS(Cross-Site Scripting)

打赏 点赞(111)

关于作者: 网站小编

码农网专注IT技术教程资源分享平台,学习资源下载网站,58码农网包含计算机技术、网站程序源码下载、编程技术论坛、互联网资源下载等产品服务,提供原创、优质、完整内容的专业码农交流分享平台。

相关文章

热门文章

1【Hacker101 CTF】Micro-CMS v1:如何製造XSS可攻击的程式码?

点赞(415) 阅读(50)

2【前端动手玩创意】动态生成的艺术|小心,乱改DOM你可能会被打脸。(13)

点赞(415) 阅读(176)

3目前已知的 DoH DoT所使用的DNS IP List伺服器IP列表

点赞(415) 阅读(51)

4如何关闭 Lenovo XClarity Controller 密码到期原则

点赞(415) 阅读(138)

5[快速入门前端 51] JavaScript:Array 阵列 (2) 阵列值的新增、删除、修改和判断

点赞(415) 阅读(192)