使用 XSS 改变服务器端已经存在的 javascript 个文件
Altering already present javascript files server-side with XSS
我目前正在尝试研究并研究使用 'stored XSS' 操纵网站 javascript 文件的可能性。
举个例子,如果一个网站加载了一个名为 'infinite-scroll.js' 的脚本,并且假设它容易受到 XSS 攻击,是否可以将我自己的代码添加到 'infinite-scoll.js' 使用跨站脚本?然后将其存储到 Web 服务器,以便将来访问该网站的任何人也能看到带有我修改过的代码的脚本?
干杯:)
没有
XSS 漏洞是服务器获取用户输入然后在没有适当转义的情况下再次输出,导致网站设计者希望被视为文本的内容被视为可执行文件JavaScript。
存储漏洞是指将输入保存到服务器并稍后输出的漏洞。例如,评论系统可能会询问您的姓名,您可以将其作为 <script>alert('XSS');</script>,然后 JavaScript 将在以后查看该评论的任何人的浏览器中 运行。
虽然 可能 存在允许攻击者用自己的版本覆盖静态 JavaScript 文件的漏洞,但它通常不会被归类为 XSS。
我目前正在尝试研究并研究使用 'stored XSS' 操纵网站 javascript 文件的可能性。
举个例子,如果一个网站加载了一个名为 'infinite-scroll.js' 的脚本,并且假设它容易受到 XSS 攻击,是否可以将我自己的代码添加到 'infinite-scoll.js' 使用跨站脚本?然后将其存储到 Web 服务器,以便将来访问该网站的任何人也能看到带有我修改过的代码的脚本?
干杯:)
没有
XSS 漏洞是服务器获取用户输入然后在没有适当转义的情况下再次输出,导致网站设计者希望被视为文本的内容被视为可执行文件JavaScript。
存储漏洞是指将输入保存到服务器并稍后输出的漏洞。例如,评论系统可能会询问您的姓名,您可以将其作为 <script>alert('XSS');</script>,然后 JavaScript 将在以后查看该评论的任何人的浏览器中 运行。
虽然 可能 存在允许攻击者用自己的版本覆盖静态 JavaScript 文件的漏洞,但它通常不会被归类为 XSS。