我正在尝试测试我网站中的漏洞。有一个文本框,我在其中输入值如下:
Dummy" /><script>document.alert('XSS Vulnerable');</script><input title="DummyAgain
以便提交表单后形成的HTML将是
<input name="customerName" size="16" value="Dummy" /><script>document.alert('XSS Vulnerable');</script><input title="DummyAgain" type="text">
但即使形成的HTML是正确的,javascript也不会执行,并且检查firefox / chrome中的元素会显示文本框的值与我输入的完全相同!
我做错了什么?
答案 0 :(得分:2)
如果你运行:
document.alert('XSS Vulnerable');
...您收到此错误消息:
TypeError:document.alert不是函数
这是因为alert() is a method of the window object,而不是document对象。
您也可以省略该对象,它默认为window:
alert('XSS Vulnerable');
更新:重现代码:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head><title></title>
</head>
<body>
<input name="customerName" size="16" value="Dummy" /><script>window.alert('XSS Vulnerable');</script><input title="DummyAgain" type="text">
</body>
</html>
答案 1 :(得分:1)
为了使该代码能够导致XSS问题,"无法替换为示例输出中的"。
答案 2 :(得分:0)
好的,伙计们......我只是检查Firefox和Chrome中的Inspect元素功能,假设这个和查看源相同...当我查看源代码时,我看到值为Dummy" /><script>alert('XSS Vulnerable');</script><input type="text。
很抱歉打扰你们没有检查来源! 谢谢@Quentin ......