按钮单击时的 XSS javascript 注入

【问题标题】:XSS javascript injection on button click按钮单击时的 XSS javascript 注入
【发布时间】:2017-04-13 19:32:17
【问题描述】:

我试图通过将 javascript 注入到在单击目标页面上的按钮时运行的页面中来实施 XSS 攻击。如何将脚本从我的 html 文件链接到目标页面上的按钮?我尝试使用 onclick 属性模仿我的 html 页面上的按钮元素,但这不起作用。我尝试使用 iframe 来点击劫持,但我也无法弄清楚。这是为了学校作业,所以顺便说一句,我实际上并没有入侵合法网站。

【问题讨论】:

  • 有没有想过使用php?
  • 我们被明确告知,我们应该能够仅使用 javascript 和 html 来完成作业。
  • @AlexanderBomanSkoug — 做什么? XSS 攻击需要制作一个 HTTP 请求,通常可以表示为 HTML 文档中的表单或链接。

标签: javascript xss


【解决方案1】:

XSS 是指用户输入直接插入 DOM 而不转义,允许攻击者制作恶意负载,您的脚本将运行该负载并将其注入页面。

一个很好的例子是从查询参数中读取错误消息并使用.innerHTML 将其显示在页面上的脚本。

http://insecure.website.com/example?error=Something+went+wrong

但是当被这样的攻击者使用时:

https://www.website.com/example?error=%3Cspan%20class=%22haha%22%3EPWND%3C/span%3E%3Cstyle%3E*{display:none%20!important;}.haha{display:block%20!important;}%3C/style%3E

会导致出现“PWND”消息。

这是一个学校作业,所以我不会给你一个完整的解决方案。但这应该会将您推向正确的方向。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2015-01-21
    • 2011-06-16
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode