XSS 能否用于修改我网站的一部分,而不是要修改的部分?
Can XSS Be Used To Modify A Part Of My Website, One That Was Not Intended To Be Modified?
我正在研究XSS,目前能找到的只有javascript可以用
至
1) 将恶意代码注入比方说个人资料页面。 (旨在修改的页面)。或者
2) HTML 和 javascript 可用于修改浏览器中显示的客户端页面的属性,以及
3) 它也许可以在页面的权限级别服务器端从 Web 服务器查询信息。
我是否应该担心我网站上的 XSS 漏洞实际上可以修改我网站的页面服务器端? (做一些每个人都会受到影响的改变)
您需要区分服务器端语言(例如PHP)和客户端语言( HTML、CSS、Javascript)。攻击者可能有多种攻击选择,具体取决于您网站上的漏洞。例如,如果您让用户 post 评论并且不对他们输入的文本做任何事情,他们可能会将任何 HTML、CSS 或 Javascript 注入您的网站,就像你那样做了。这可能导致数据被盗,并且攻击者将能够检索访问他注入的页面的任何人的数据(再次取决于您的站点)。他们不能在您的网站上使用 PHP 等服务器端语言。
TLDR;你让攻击者成为管理员,他们甚至可以将你的用户重定向到他们自己的页面。
XSS 可以修改您网站的一部分,如果您的网站具有由网络服务器处理的输入对象,甚至可能是本不打算的部分。
如果您的 Web 服务器的输入 reader 函数具有完全访问权限,并且该函数不是 "picky" 因此不会逃避潜在的用户编写的代码,它可能会执行导致它更改的恶意代码网站和任何连接的资源服务器端。 (因为此执行发生在服务器端,所以您网站的所有新访问者都会看到这些更改。)
您只能通过 URL 请求或网站上的输入字段注入恶意项目。
Javascript在客户端注入可以收集JavaScript个变量的值。它还可以窃取带有登录令牌的 cookie 等信息。
我正在研究XSS,目前能找到的只有javascript可以用 至 1) 将恶意代码注入比方说个人资料页面。 (旨在修改的页面)。或者 2) HTML 和 javascript 可用于修改浏览器中显示的客户端页面的属性,以及 3) 它也许可以在页面的权限级别服务器端从 Web 服务器查询信息。
我是否应该担心我网站上的 XSS 漏洞实际上可以修改我网站的页面服务器端? (做一些每个人都会受到影响的改变)
您需要区分服务器端语言(例如PHP)和客户端语言( HTML、CSS、Javascript)。攻击者可能有多种攻击选择,具体取决于您网站上的漏洞。例如,如果您让用户 post 评论并且不对他们输入的文本做任何事情,他们可能会将任何 HTML、CSS 或 Javascript 注入您的网站,就像你那样做了。这可能导致数据被盗,并且攻击者将能够检索访问他注入的页面的任何人的数据(再次取决于您的站点)。他们不能在您的网站上使用 PHP 等服务器端语言。
TLDR;你让攻击者成为管理员,他们甚至可以将你的用户重定向到他们自己的页面。
XSS 可以修改您网站的一部分,如果您的网站具有由网络服务器处理的输入对象,甚至可能是本不打算的部分。 如果您的 Web 服务器的输入 reader 函数具有完全访问权限,并且该函数不是 "picky" 因此不会逃避潜在的用户编写的代码,它可能会执行导致它更改的恶意代码网站和任何连接的资源服务器端。 (因为此执行发生在服务器端,所以您网站的所有新访问者都会看到这些更改。)
您只能通过 URL 请求或网站上的输入字段注入恶意项目。
Javascript在客户端注入可以收集JavaScript个变量的值。它还可以窃取带有登录令牌的 cookie 等信息。