如何通過 XSS 在另一個網頁上加載 javascript?
[英]How to load javascript on another webpage through XSS?
問題描述
我正在完成一項學校作業。 有一些我需要完成的任務我已經堅持了很長時間了。 這些目標比我將要提出的問題要復雜一些,但是,它將解決我似乎無法弄清楚的潛在問題。 任何幫助將不勝感激。
本質上,我有一個 html 文件,並且在我的 VM 上托管了一個易受攻擊的虛假網站。 它本質上是通過iceweasel 網絡瀏覽器的登錄頁面。 我發現該漏洞是因為字段之一只是與 post 值相呼應。 用戶打開我的頁面,很簡單地向假網站發出發布請求,然后我將腳本插入到所述輸入的 value 屬性中。 看起來像這樣:
<input type="someType" name="someName" value=""/><script>alert('Hello');</script>">
我遇到的問題是此警報發生在我的網頁上,我希望它在加載易受攻擊的網頁后執行警報。 有誰知道如何完成這樣的壯舉?
編輯第 3 部分(最后自己解決了 2):
一旦我按照你的建議轉義雙引號和 < 和 > 符號,我就能夠成功地在易受攻擊的網頁上執行警報。 我還成功地通過腳本(第 2 部分)發送了一個函數,這是另一個語法錯誤。
對於我要處理的下一部分,我不希望用戶看到加載時打印到頁面的“>”。有沒有辦法擺脫該文本?
例如:
<input type="someType" name="someName"
value="""/><script>alert('Hello');</script>"/>
"> 打印到頁面上。我該如何擺脫/隱藏它?
1 個解決方案
解決方案1
0 2021-07-15 01:04:53
正如@misorude 所提到的,在作業開始時,您的引號超出了需要的數量。 如果您保留 type=text,那么您的假網站將在轉換前幾毫秒顯示一個文本矩形。 隱藏它(類型=隱藏)。
如何在另一個域上的另一個網頁上加載外部網頁的某個div
[英]How to load a certain div of an external webpage on another webpage that is on a different domain
如何將其他網頁的div加載到我的網頁而不是整個頁面?
[英]How to load the div of another webpage and not the entire page into my webpage?
javascript加載信息功能,使用表格定向到另一個網頁
[英]javascript load info function using a form to direct to another webpage
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.