XSS可以用来修改我网站的一部分,一个不打算修改的部分
Can XSS Be Used To Modify A Part Of My Website, One That Was Not Intended To Be Modified?
我正在研究XSS,到目前为止我能找到的就是可以使用javascript。自1)将恶意代码注入到个人资料页面中。(要修改的页面)。或2)HTML和javascript可用于修改浏览器中显示的客户端页面的属性,以及3)它也许可以在页面的权限级别服务器端从Web服务器查询信息。
我是否应该担心我网站上的XSS漏洞实际上会修改我网站的页面服务器端?(进行一些每个人都会受到影响的更改)
你需要区分
服务器端语言(例如PHP)和客户端语言(HTML,CSS,Javascript)。攻击者可能有多种攻击选择,具体取决于您网站上的漏洞。例如,如果你让用户发表评论并且不对他们输入的文本做任何事情,他们可以将任何HTML,CSS或Javascript注入你的网站,就像你这样做一样。这可能导致数据被盗,攻击者将能够检索访问他注入的页面的任何人的数据(再次取决于您的网站)。他们不能在您的网站上使用像PHP这样的服务器端语言.
TLDR;你让攻击者成为管理员,他们甚至可以将你的用户重定向到他们自己的页面。
XSS 可以修改您网站的一部分,如果您的网站具有由 Web 服务器处理的输入对象,甚至可以修改不打算修改的部分。如果 Web 服务器的输入读取器功能具有完全访问权限,并且该函数不"挑剔",因此不会逃脱潜在的用户编写的代码,则它可能会执行恶意代码,导致它对网站和任何连接的资源进行更改服务器端。(由于此执行发生在服务器端,因此您网站的所有新访问者都将查看这些更改。
您只能通过网站上的 URL 请求或输入字段注入恶意项目。
注入在客户端的 JavaScript 可以收集 JavaScript 变量的值。它还可以窃取带有登录令牌的 cookie 等信息。
相关文章:
- 动态修改一个元素,使其与给定的选择器匹配
- window.open:是否可以通过修改DOM来打开一个新窗口
- 有没有一个javascript库能够修改和保存图像
- XSS可以用来修改我网站的一部分,一个不打算修改的部分
- 修改 HTML 的方式使左键应带到下一个 URL
- 检查所有元素的属性并修改另一个元素
- 如何从另一个网页修改一个网页的内容
- Jquery:扩展一个对象来修改一个方法
- 在按钮左键单击时在谷歌地图上添加标记.尝试修改一个示例
- 修改一个简单的jquery游戏
- 修改一个index.aspx文件,然后得到一个http 404
- Javascript Date.setHours()正在修改一个我没有引用的Date对象,使用了错误的日期
- 在Angular中,当一个选项被下拉菜单选中时,如何修改一个对象
- 修改一个指令不使用jquery api
- 如何修改一个javascript函数来操作多个按钮?
- 用另一个函数修改一个函数的私有变量
- 我如何修改一个模板实例从一个事件处理程序在流星没有会话
- 如何修改一个小的脚本运行没有jquery
- 每次修改一个类中的元素
- 如何修改一个promise的属性,使其与AngularJS中对象的属性相等?
