無法在我的網站上重現XSS?
[英]Can't reproduce XSS on my website?
問題描述
我正在嘗試測試我網站中的漏洞。 有一個文本框,我在其中輸入值,如下所示:
Dummy" /><script>document.alert('XSS Vulnerable');</script><input title="DummyAgain
以便提交表單后形成的HTML將是
<input name="customerName" size="16" value="Dummy" /><script>document.alert('XSS Vulnerable');</script><input title="DummyAgain" type="text">
但即使形成的HTML是正確的,javascript也不會執行並檢查firefox / chrome中的元素,顯示文本框的值與我輸入的完全相同!
我究竟做錯了什么?
3 個解決方案
解決方案1
2 2012-12-21 10:06:13
如果你運行這個:
document.alert('XSS Vulnerable');
...你收到此錯誤信息:
TypeError:document.alert不是函數
發生這種情況是因為alert()是window對象的方法 ,而不是document對象。
你也可以省略對象,它默認為window :
alert('XSS Vulnerable');
更新:重現代碼:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head><title></title>
</head>
<body>
<input name="customerName" size="16" value="Dummy" /><script>window.alert('XSS Vulnerable');</script><input title="DummyAgain" type="text">
</body>
</html>
解決方案2
1 2012-12-21 09:41:45
對於能夠導致XSS問題的代碼, "不能替換為"就像在示例輸出中一樣。
解決方案3
0 2012-12-21 10:46:02
好吧,伙計們......我只是檢查Firefox和Chrome中的Inspect元素功能,假設這個和查看源相同......當我查看源代碼時,我看到了值為Dummy" /><script>alert('XSS Vulnerable');</script><input type="text Dummy" /><script>alert('XSS Vulnerable');</script><input type="text 。
很抱歉打擾你們,不檢查來源! 謝謝@Quentin ......
XSS 可以用來修改我網站的一部分,一個不打算修改的部分嗎?
[英]Can XSS Be Used To Modify A Part Of My Website, One That Was Not Intended To Be Modified?
如何只能從我的網站而不是XSS調用myWebservice.asmx(從myJavascript.js調用)?
[英]How can myWebservice.asmx (being called from myJavascript.js), only be callable from my website and not XSS?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.