我越来越多地防止xss攻击,我正在做的一种方法是找到并修复漏洞。我注意到我在很多我记录的攻击中都看到了文件。
我似乎无法找到很多关于此的文档,所以我想知道它做了什么或它的用途是什么?
答案 0 :(得分:5)
AFAIK它只是一种测试攻击是否有效的方法。您尝试将包含document.vulnerable = true的脚本注入页面,然后转到该页面,查看是否已设置document.vulnerable。
答案 1 :(得分:3)
据我所知,它只是XSS漏洞测试设置的标志。我基于我所看到的所有测试并且
...生成的HTML页面设置了一个特定的JavaScript值(document.vulnerable = true),然后该工具将该页面标记为易受给定XSS攻击...
在此FF插件的文档中看到:https://addons.mozilla.org/en-US/firefox/addon/xss-me/
答案 2 :(得分:2)
我认为它没有做任何事情,只是在名为vulnerable的文档对象上设置了一个属性。
当您在查看XSS攻击时看到类似:<IMG SRC="javascript:document.vulnerable=true;">的HTML代码时,这只是一种说法“允许在此处插入JavaScript代码是危险的”。