我竟然无意中在尝试攻击别人家的网站,真尼玛醉了

2017-02-27 11:01:16 +08:00
 ericgui
兄弟门,我刚才发现我无意中竟然尝试在攻击别人的网站。

刚才我特别想把一个网站的 textarea 的 value ,不用手动输入, 而是传一个字符串。

document.getElementById("").value = "AAA"

我搞了半天想直接让对方网站执行这一行代码,这在浏览器这边,用 F12 里的 console 是可以设置那个 textarea 的 value 。
但如果直接通过程序执行这个代码,那不就是让别人网站执行你的 JS 代码吗?那不就能获取到包括 cookie 在内的一些敏感信息了么?
搞了半天才意识到这是有问题的
幸好没成功。

这是叫做 XSS 注入攻击吧?有搞网络安全的高人指点一下么?


好吧,如果不这样做,怎么才能改变这个 textarea 的 value 呢?
9206 次点击
所在节点    JavaScript
57 条回复
40huo
2017-02-27 12:19:04 +08:00
F12 的不算 XSS 的。
26 楼说的更多的是存储型的 XSS ,多见于留言板等功能处,将形如
</textarea><script>alert(document.cookie)</script><textarea>
的 payload 写入服务器的数据库,如果成功的话,任意人查看该页面时都会弹框。
还有反射型的 XSS ,是服务器将 get 的参数未经过滤直接嵌入了页面代码,因此可以构造形如
http://www.bug.com/index.php?search="'><script>alert(document.cookie)</script>
的 payload ,将 URL 发送给受害者,受害者点击后其浏览器会弹窗。
neilwong
2017-02-27 12:30:22 +08:00
为什么感觉这个帖子萌萌哒
xxfan
2017-02-27 12:32:21 +08:00
弱弱说句..我们现在的项目里就没有防 xss..隔三差五有点小 bug(非恶意).. 幸亏不是 toB 的工程..
jiangzhuo
2017-02-27 12:40:47 +08:00
CS 本科毕业并不知道什么是 XSS 什么是
我们网络安全是选修然而我并没选,但是数学语文英语是必修
jason19659
2017-02-27 12:49:46 +08:00
@ihciah #25 66666666666
lwbjing
2017-02-27 13:35:32 +08:00
@bianhua 我特么也是这么走上不归路的。。。至今已经十二三年了。。
skylancer
2017-02-27 15:44:41 +08:00
今天 v2 怎么这么多人开嘲讽的
说的好像自己没彩笔过似的
henneko
2017-02-27 17:20:42 +08:00
建议理解区分一下客户端,服务端
whimsySun
2017-02-27 18:38:39 +08:00
看了楼主以往的帖子,楼主真心很幽默
ETO
2017-02-27 20:21:40 +08:00
lz 真的好萌唉。
Aixtuz
2017-02-27 21:10:55 +08:00
1# 虽然话不好听,但人家并没吐槽什么 CS 知识,人家吐槽的是 “语言表达”。
连最基本的语句通顺都做不到,你要别人怎么拿出认真的态度回应你。
j8sec
2017-02-28 00:28:57 +08:00
self-xss, sb
SourceMan
2017-02-28 09:51:31 +08:00
1# 说话虽然带着嘲讽,但是点出了楼主真正的问题所在
楼主应该从里面知道自己的不足,而不是埋怨别人为什么要嘲讽自己。

真正讨厌的是那种无脑喷、目中无人、带家人骂人的那群人。
allenyang89
2017-02-28 10:32:37 +08:00
想到个笑话,小时候上网,有个朋友和我说‘你看网页的时候不要老用鼠标框那些文字,这样影响别人(网上同样浏览这个网页的人)看的’
stabc
2017-02-28 10:51:49 +08:00
我才发现那个“红轴 THINKPAD ”也是出自 LZ 之手。如果 LZ 不是故意卖萌,那就真的是天然激萌啊哈哈
lianz
2017-02-28 11:29:14 +08:00
@ericgui 那个楼主...我错了, 向你道歉.

顺便给你介绍个 Chrome 插件, 应该可以完美满足你的需求.
插件名字: Autofill

@hiboshi 也向你道歉.
chiv2
2017-03-01 22:40:40 +08:00
楼主,建议你先去学点网络基础,不会浪费时间的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/343452

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX