8. 已知一个反射型 XSS 裂痕,可以在返回页面的 HTML 代码的某个位置注入任意
数据。插入的数据被截短至 50 字节,可是我们但愿注入一个超长的剧本,而且
不想挪用外部处事器上的剧本。如何办理长度限制呢?
可以将反射型 XSS 裂痕“转换成”基于 DOM 的 XSS 裂痕。譬喻,假如易受进攻的
参数称为 vuln,则可以利用以下 URL 执行任意长度的剧本:
/script.asp?vuln=<script>eval_r(location.hash.substr(1))</script>#ale
rt(‘long script here ......‘)
9. 已知在一个必需利用 POST 要领的请求中存在反射型 XSS 裂痕。进攻者可以使
用哪种传送机制实施进攻?
假如 POST 要领是必须的,则不能仅仅在应用措施中构建一个专门设计的 URL,
以便在用户会见该 URL 时实施进攻。可是,可以建设一个第三方网页,利用 POST
要领向易受进攻的应用措施提交一个表单和位于埋没字段中的相关参数。当用户
查察该网页时,可以利用 JavaScript 自动提交上述表单。
原文地点:https://www.cnblogs.com/landesk/p/10888464.html
查察全文
其他推荐
Open API Initiative宣布OpenAPI类型尺度3.0.0
阅读 666082
凤凰传媒拟3.71亿元参股PPTV 间接持股9.56%
阅读 665078
网站seo必需相识的3个SEO根基常识
阅读 665780
英雄传说:空之轨迹FC第10期
阅读 664092
英雄传说6空之轨迹FC游戏流程第30期
阅读 663005
网站seo优化网站的9大计策
阅读 660740
拼多多又上热搜第一!被曝长途删除用户照片?赔偿30元代金券,网友:黑客帝国?
阅读 660614
荣耀畅玩7C玩王者荣耀卡不卡?
阅读 659177
自动更正呼吁行错误的开源小东西The Fuck
阅读 659309
武侠群英传游戏流程第14期
阅读 659283
网络营销推广的要领有哪些?
阅读 658758
抱团亏了指数亏了钱?3400只股票下跌,热门板块集团重挫,券商:春躁行情仍大有可为