我正在查看在POST操作中具有经过验证的反映XSS漏洞的网站。我不确定攻击者可以在这里做什么样的攻击。</ p>
Cookie全部标记为安全且非常糟糕,因此恶意JavaScript无法窃取它们。
此漏洞仅在POST请求完成时显示,而不是GET,因此通过创建以合法域开头的URL,该漏洞无法轻易用于网络钓鱼。
< / LI>使用它来劫持网络浏览器以将其转发到恶意网站似乎没有必要访问具有HTML或JavaScript代码的恶意网站,以使浏览器将POST提交到网站。
我错过了什么?这个漏洞仍然可以用于恶意目的吗?
答案 0 :(得分:1)
XSS是指攻击者可以从您网站外部制作请求,GET或POST,并将自己的内容注入您的网页。只要请求中的数据用于未转义的响应,就可以使用XSS。
一旦实现XSS,攻击者可以做些什么?您应该考虑答案为“&#39;。
。”我的常见例子通常是:
攻击者注入代码来替换页面与您的登录页面的任何内容,并且它们完美无缺,您的用户无法区分。但是&#39;假的&#39;登录页面将用户的用户名和密码发送给攻击者,并将用户登录,以便他们甚至不会意识到它是假的。