正如问题所说,我在我的网站上发现了这一点而没有逃避它,并想知道在最坏的情况下有人可以做些什么?参数本身是搜索值$ _GET [“q”]。
答案 0 :(得分:2)
您将离开您的网站以反映XSS攻击。因此,JavaScript可以传递给参数并在网站中使用。
https://www.owasp.org/index.php/Testing_for_Reflected_Cross_site_scripting_%28OTG-INPVAL-001%29
从上面的例子来看,这样的攻击将是:
http://example.com/index.php?q=<script>alert(123)</script>