来源:自学PHP网 时间:2015-04-17 11:59 作者: 阅读:次
[导读] 这是YY游戏直播的一个XSS,上报过,只是说没啥危害(反射型XSS,好像多数都没啥实际危害),所有俺也就来这里给写写为啥它能弹框框。说是教学,其实俺还没达到能教别人的境界,只...
|
这是YY游戏直播的一个XSS,上报过,只是说没啥危害(反射型XSS,好像多数都没啥实际危害),所有俺也就来这里给写写为啥它能弹框框。
说是教学,其实俺还没达到能教别人的境界,只是给还没入门的人看看,XSS是怎么形成的,在俗一点就是它为什么能弹框框呢。 啥是XSS就不说了,不懂也没必要往下看了。 那XSS如何形成的呢?这说起来话就长了,长话短说呢就是:对用户输入的数据没做检查,或者是没有仔细检查,把用户输入的数据,当程序执行了。 链接:http://live.yy.com/index.php?m=Notice&page=1%22%3E%3Cscript%3Ealert%28/xss/%29%3C/script%3E&pageSize=20 图:
看payload的位置,就知道是page参数的问题了 在看图:
看到了没?上面直接输出了,输入的page参数是什么,输出的就是什么。 用">闭合了<a>标签,然后后面的alert就弹框框了,当然现在这样弹框框,IE都可以拦截下的,不过至少知道为啥它能弹框框了。 |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
