我竟然无意中在尝试攻击别人家的网站，真尼玛醉了

2017-02-27 11:01:16 +08:00

ericgui

兄弟门，我刚才发现我无意中竟然尝试在攻击别人的网站。

刚才我特别想把一个网站的 textarea 的 value ，不用手动输入，而是传一个字符串。

document.getElementById("").value = "AAA"

我搞了半天想直接让对方网站执行这一行代码，这在浏览器这边，用 F12 里的 console 是可以设置那个 textarea 的 value 。
但如果直接通过程序执行这个代码，那不就是让别人网站执行你的 JS 代码吗？那不就能获取到包括 cookie 在内的一些敏感信息了么？
搞了半天才意识到这是有问题的
幸好没成功。

这是叫做 XSS 注入攻击吧？有搞网络安全的高人指点一下么？

好吧，如果不这样做，怎么才能改变这个 textarea 的 value 呢？

9175 次点击

所在节点

JavaScript

57 条回复

40huo

2017-02-27 12:19:04 +08:00

F12 的不算 XSS 的。
26 楼说的更多的是存储型的 XSS ，多见于留言板等功能处，将形如
</textarea><script>alert(document.cookie)</script><textarea>
的 payload 写入服务器的数据库，如果成功的话，任意人查看该页面时都会弹框。
还有反射型的 XSS ，是服务器将 get 的参数未经过滤直接嵌入了页面代码，因此可以构造形如
http://www.bug.com/index.php?search="'><script>alert(document.cookie)</script>
的 payload ，将 URL 发送给受害者，受害者点击后其浏览器会弹窗。

neilwong

2017-02-27 12:30:22 +08:00

为什么感觉这个帖子萌萌哒

xxfan

2017-02-27 12:32:21 +08:00

弱弱说句..我们现在的项目里就没有防 xss..隔三差五有点小 bug(非恶意).. 幸亏不是 toB 的工程..

jiangzhuo

2017-02-27 12:40:47 +08:00

CS 本科毕业并不知道什么是 XSS 什么是
我们网络安全是选修然而我并没选，但是数学语文英语是必修

jason19659

2017-02-27 12:49:46 +08:00

@ihciah #25 66666666666

lwbjing

2017-02-27 13:35:32 +08:00

@bianhua 我特么也是这么走上不归路的。。。至今已经十二三年了。。

skylancer

2017-02-27 15:44:41 +08:00

今天 v2 怎么这么多人开嘲讽的
说的好像自己没彩笔过似的

henneko

2017-02-27 17:20:42 +08:00

建议理解区分一下客户端，服务端

whimsySun

2017-02-27 18:38:39 +08:00

看了楼主以往的帖子，楼主真心很幽默

ETO

2017-02-27 20:21:40 +08:00

lz 真的好萌唉。

Aixtuz

2017-02-27 21:10:55 +08:00

1# 虽然话不好听，但人家并没吐槽什么 CS 知识，人家吐槽的是 “语言表达”。
连最基本的语句通顺都做不到，你要别人怎么拿出认真的态度回应你。

j8sec

2017-02-28 00:28:57 +08:00

self-xss, sb

SourceMan

2017-02-28 09:51:31 +08:00

1# 说话虽然带着嘲讽，但是点出了楼主真正的问题所在
楼主应该从里面知道自己的不足，而不是埋怨别人为什么要嘲讽自己。

真正讨厌的是那种无脑喷、目中无人、带家人骂人的那群人。

allenyang89

2017-02-28 10:32:37 +08:00

想到个笑话，小时候上网，有个朋友和我说‘你看网页的时候不要老用鼠标框那些文字，这样影响别人（网上同样浏览这个网页的人）看的’

stabc

2017-02-28 10:51:49 +08:00

我才发现那个“红轴 THINKPAD ”也是出自 LZ 之手。如果 LZ 不是故意卖萌，那就真的是天然激萌啊哈哈

lianz

2017-02-28 11:29:14 +08:00

@ericgui 那个楼主...我错了, 向你道歉.

顺便给你介绍个 Chrome 插件, 应该可以完美满足你的需求.
插件名字: Autofill

@hiboshi 也向你道歉.

chiv2

2017-03-01 22:40:40 +08:00

楼主，建议你先去学点网络基础，不会浪费时间的。

第 3 页／共 3 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/343452

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.