-
-
原创]浅谈xss
-
发表于:
2009-12-13 21:11
4065
-
不知不觉本学期也已经过去大半了,想想自己一无所获,真是惭愧!为了让自己有点收获,对得起自己交给学校的钱,因此,学了点
网站开发,无意间了解到了xss,其实我也不太明白其是怎么回事(请高手指教Q:253651745).只是简单知道,有些论坛,网络聊天室
,或者其他所有可以让用户输入的地方,没有对用户输入进行过滤,然而用户输入了"非法字符",比如javascript脚本。然后用户提
交输入内容后,被提交的用户输入被保存到服务器上,当其他用户浏览该网页时,服务器首先读取用户输入的内容,生成网页,返回
给请求该网页的用户。当用户输入非法字符后,若服务器没有进行过滤,那么用户输入的内容,将被IE等浏览器直接解释执行,如若
用户输入<script>alert('yes')</script>将会弹出对话框。若输入<iframe>可以实现挂马等。在这里我也不多说了,因为我也是菜
鸟,但我想还可以做很多事,利用这个漏洞吧。利用所学,在网上进行了一些测试(发挥黑客精神,免费帮助管理员测试网站),发
现大部分网站都已经对用户的输入进行了很好的过滤。但总有些不注重安全的网站还存在这样的问题。写这篇文章,主要是希望负责
网站开发的程序员能重视网站的安全,编写安全代码(即对用户的输入进行严格过滤)
在此举个例子:比如CSDN网 在用户浏览自己发布的所有资源网页中存在对用户输入没有过滤的问题,主要是对 关键字 名称 输入的
信息没有进行过滤,因此可以被利用,例如我的发布所有资源的网页http://sslongpossible.download.csdn.net/我加入了一个弹出
对话框的javascript脚本。
希望与网络安全爱好者一同学习网络安全攻防技术(Q:253651745).文笔很差让大家见笑了!
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法