我竟然无意中在尝试攻击别人家的网站,真尼玛醉了

2017-02-27 11:01:16 +08:00
 ericgui
兄弟门,我刚才发现我无意中竟然尝试在攻击别人的网站。

刚才我特别想把一个网站的 textarea 的 value ,不用手动输入, 而是传一个字符串。

document.getElementById("").value = "AAA"

我搞了半天想直接让对方网站执行这一行代码,这在浏览器这边,用 F12 里的 console 是可以设置那个 textarea 的 value 。
但如果直接通过程序执行这个代码,那不就是让别人网站执行你的 JS 代码吗?那不就能获取到包括 cookie 在内的一些敏感信息了么?
搞了半天才意识到这是有问题的
幸好没成功。

这是叫做 XSS 注入攻击吧?有搞网络安全的高人指点一下么?


好吧,如果不这样做,怎么才能改变这个 textarea 的 value 呢?
9206 次点击
所在节点    JavaScript
57 条回复
lianz
2017-02-27 11:06:26 +08:00
小学生放学了? 先补补语文再去学习 JS 吧, 毕竟语文数学英语都是必修基础课.....
j4fun
2017-02-27 11:08:05 +08:00
上帝将智慧洒满人间 你却撑起了伞╮(╯▽╰)╭
ericgui
2017-02-27 11:08:53 +08:00
@lianz 我不懂就来问,你这样何苦呢。你出生就是 CS 本科毕业?
hiboshi
2017-02-27 11:08:57 +08:00
是 XSS ,但是一般都是 进行过滤的。 获取 cookie 算小的,如果能执行 sql 直接 drop 掉数据库。
yzmm
2017-02-27 11:09:03 +08:00
/><script>alert('楼主领盒饭');</script><
wenymedia
2017-02-27 11:09:18 +08:00
楼主 要在电脑旁边插上三支香 才可以这个值
ericgui
2017-02-27 11:09:22 +08:00
@j4fun 借点你的智慧呗。我的不够用。
hiboshi
2017-02-27 11:09:37 +08:00
@lianz 何苦呢?你难道不是这样过来的?
imlonghao673
2017-02-27 11:11:37 +08:00
Greasemonkey
imlonghao673
2017-02-27 11:12:04 +08:00
删掉空格
polun
2017-02-27 11:14:13 +08:00
支持楼主探索,
说风凉话的有意思吗?
fy
2017-02-27 11:14:35 +08:00
楼主,别人的网站从未自己执行过网页上的 JS ,都是你的浏览器在执行。包括你自己在 console 写上去的代码。
yesicoo
2017-02-27 11:17:09 +08:00
五十笑百
huijian222
2017-02-27 11:17:26 +08:00
如果对方网站没过滤确实是能这样的 不过楼主你在 console 里面。。。 怎么改都是在单机啊
ericgui
2017-02-27 11:17:50 +08:00
@fy 我靠你说的对啊。我把自己绕进去了。
jarlyyn
2017-02-27 11:18:50 +08:00
这个一般都是搞搜索页。

因为搜索页会生成有一个带参数的链接,可以转发给其他人。
Deardrops
2017-02-27 11:19:46 +08:00
/><script>alert('楼主领盒饭');</script><
ericgui
2017-02-27 11:20:23 +08:00
@huijian222 我想通过写几行代码,让对方服务器执行这行代码。结果发现不成功。在自己 console 里试了试,可以。现在才发现我把自己绕进去了。
Phariel
2017-02-27 11:20:37 +08:00
我以为我穿越了 上回看到这种问题是在七八年前的建站论坛里。。。
ericgui
2017-02-27 11:20:53 +08:00
@hiboshi 谢谢解答和支持

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/343452

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX