长亭百川云 - 文章详情

XSS基础教学1【什么都没有过滤】

不忘初心px1624

69

2024-07-13

    很多人建议让出一些基础教学,这里由浅入深的给出一些吧。案例直接参考 心伤的瘦子 之前发的系列教学漏洞来讲解。

1 先讲一讲,什么叫做输入和输出。如下图

    可以看到,我们可以改变写入的内容,就叫做输入,然后网页中显示的内容,叫做输出。

    然后有些时候,输出的部分是根据输入部分的改变而改变的,如果这个过程中,没有做好过滤,那么就会导致将一些恶意字符输出到页面中,这样就形成了XSS漏洞。

    比如这里,我们给参数输入了一个markdown-img标签,这时候由于没有做好过滤,直接对markdown-img标签进行了输出,这样就会导致HTML标签在网页页面中解析,输出一个图片。

稍微改下上面参数的代码,score这个参数输入以下内容:

score=<img src=1 onerror=alert(1)>

可以看到,如下图,解析了img标签,触发了onerror事件,最终执行了javascript代码的alert(1),弹出了1

这就是一个最简单的XSS漏洞,你们学会了吗?

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2