这是一个创建于 2813 天前的主题,其中的信息可能已经有所发展或是发生改变。
http://www.etherdream.com/FunnyScript/anti-xssworm/
游戏规则:在控制台里编写代码,若能自动发出留言,就算成功。
-
控制台必须是那个页面的 top 环境。(模拟页面中的 XSS 运行)
-
发表过程自动完成,不能有用户交互。(想象 XSS 自动发留言导致蠕虫)
 |
1
xqin 2017-03-06 10:25:07 +08:00
```
(function(img){ img.onload = updateList img.src='https://xqin.net/temp/anti-xssworm.php?c=test_' + Math.random() })(new Image()) ``` 这样的算吗? |
 |
2
zjcqoo OP @xqin 后端代理应该不能算~ 这个案例只是为简单,所以不用登陆也可以发表。一般应用都是需要登陆的,代理是不知道用户 token 的。
|
|
3
xqin 2017-03-06 10:55:50 +08:00
`游戏规则:在控制台里编写代码,若能自动发出留言,就算成功。` 不是符合了上面的规则了吗? 又没说不让用后端中转.
那个 DEMO, 利用 跨域 隔离运行环境, 从 js 层面想触发 click 是不可能了(只能用户主动点), 并通过 `message` 事件来进行交互. |
|
4
xqin 2017-03-06 10:58:38 +08:00
话说楼主咋换头像了呢 :P
|
|
6
zjcqoo OP 好吧,我再加个需要登陆的机制。。。不过这样后端还是可以自动发的。
我想想,改下游戏规则。用 clickjacking 也算,但也不能太容易 |
 |
7
lauix 2017-03-06 12:12:44 +08:00
这也叫防 XSS ???
|
 |
9
cyrbuzz 2017-03-06 17:18:20 +08:00
试了一下:
iframs = document.getElementsByTagName('iframe') 然后 iframs[1].src = 'http://127.0.0.1/test' (0 也可以。) http://127.0.0.1/test 是个用 flask 搭建的页面,页面就是用 python 请求发消息的地址: http://cross.etherdream.com/FunnyScript/anti-xssworm/submit.php ,然后就可以发了。 呃,不知道这样可不可以。 |
Select Language