iT邦幫忙

0

【Hacker101 CTF】Micro-CMS v1:如何製造XSS可攻擊的程式碼?

xss web security
rayminqaq 2023-07-23 22:33:45827 瀏覽

  • 分享至 

  • xImage
    •  

當頁面的內容可以允許使用者輸入,例如:線上筆記軟體, 聊天對話框,如果沒有適當的檢核直接進行儲存,甚至進行執行,就有可能有XSS的疑慮。

/* 正常下 */
const q = 'hello' // 從網址列拿下來的參數
document.querySelector('.search').innerHTML = q // 將參數傳輸到用戶頁面

/* XSS */
const q = <script>alert(1)</script> // 從網址列拿下來的參數
document.querySelector('.search').innerHTML = q // 將參數傳輸到用戶頁面****

以上的程式碼中,如果伺服器沒有使用一些過濾內容的措施,惡意的程式碼就有可能被嵌入到網站。

Reference:


圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22202
完賽人數
602
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙