Loading...

信息安全之XSS攻击实战

avatar

JimXu

2020-06-02

Web

信息安全之XSS攻击实战

之所以叫实战,那是因为我拿我自己的项目在作死。PS:很久以前写的代码了,难免会有一些漏洞,发现问题总是好事

最近测试新做的项目时现存在XSS漏洞,都2020年了,不会真的还有网站存在XSS攻击吧,不会吧,不会吧,突然想起我大学期间写的一个图书管管理系统,我现在就去测试一下

先随便找一个表单

测试开始,写一个script进去

然后新增,当场吐血 然后每次进这个页面都会弹窗,好家伙,我狠起来了连我自己都不放过

这个代码是开源了的(不想维护,以前写的代码太草率了),项目也部署起的,测试可以,记得删除啊

然后XSS的防范网上有很多方法,后台过滤器,前台能用innerText,就不用innerHtml,这里就不过多赘述了

-->

Other article