iT邦幫忙

0

【Hacker101 CTF】Micro-CMS v1:XSS 攻擊

xss
  • 分享至 

  • xImage
  •  

距離我上次發文已經過去兩天的時間了。這段時間我挑戰 Hacker101 CTF 上的 Micro-CMS v1 題目,並花了許多時間在網路上尋找其他人的解法。終於在其中一篇文章中,看到使用<svg onload=alert(1)>就可以拿到flag,於是我決定深入了解這個漏洞 - 跨站腳本攻擊 (XSS)。

順帶一提,iT邦的新手任務怎麼這麼難解 = =

在這兩天的學習中,我對 XSS 和 SQL 注入有了一些模糊的認識,但尚未完全理解。在這裡,我想將我目前對 XSS 的理解記錄下來,並希望各位大大能在下方留言區給予指點,我將不勝感激。

在概念上,XSS, SQL Injection的本質上都是攻擊網站的輸入漏洞,惡意行為包括:刪除資料庫,獲取session等,在此引述Yakim shu的評論:

本質也是讓使用者「 輸入的資料」 變成「 程式的一部分 」

在實際上,還有很多對於XSS注入的衍生方法,我參見以下的網站:

然而對於伺服器是如何運作,導致XSS的我還是不大理解,因此在這剩下的三題,我考慮回去 TryHackMe 以及 飛飛的網站 補充Network以及Web知識 (也考慮去寫一個後端的side project)。

參考資料:


圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言