除了在 XSS Pattern〈一〉 舉的例子, XSS 還可用來獲取某些使用者瀏覽器的歷史紀錄, ex:瀏覽過的網站、搜尋過的關鍵字等,以上的手法因為需要 Javascript & CSS 的技術,故稱之為 Javascript/CSS history hack。 該技術主要利用了 Dom 中的 getComputedStyle()方法來實現,讀者可自行研究。
而利用 XSS 也可利用 Javascript 得知 client 的許多 info ,例如:可以做到端口掃描、獲得 clipboard 的內容、獲得 client IP等。
還可利用 XSS 進行網頁掛馬、DOS、DDOS及 Worm 等攻擊手法。
iThome鐵人賽
看影片追技術