zoukankan      html  css  js  c++  java
  • 跨站脚本攻击(selfxss)笔记(三)

            本篇纯文字发表自己对自插型xss的看法

       selfxss,顾名思义,自己输入xss脚本,输出仅自己看到,仅xss到自己。

       常见的有:查询框的xss、某个账号中,添加自己的分组类等

       查询框的xss

       即在查询框输入什么,则在输出的页面返回什么,然后没有过滤或编码引发,插入脚本后,弹出弹框,但刷新页面后又没有了,这种就为selfxss;当然有些系统有历史查询记录这个功能,为了用户体验而设计,刷新页面后可能继续弹框,因为历史查询数据缓存在浏览器或微信上,但也是只有当事人才看得到,也就是作案者同时也是受害者。

       之前一直以为selfxss没卵用(可能是看了不健康的安全论坛)。

       但由于有了csrf这种思路,打破了selfxss没卵用的神话。

       大致可以总结为,selfxss只不过是要自己输入脚本post提交,如果我把脚本写在一个post的html里,然后引诱别人点击提交呢?好像有种反射xss的味道,效果又跟反射xss一样,一点就出事~原理上其实就是csrf。

       一般这种查询框基本不会做csrf防护……所以selfxss的防止还是很有必要!!

       

  • 相关阅读:
    课后作业 学号15100457
    开学第一课
    20180320作业2:进行代码复审训练
    20180320作业1:源代码管理工具调查
    软工作业PSP与单元测试训练
    构建之法 完成教材第一章P18第4题
    第一天上课 创建博客
    进行代码复审训练
    源代码管理工具调查
    软工作业PSP与单元测试训练
  • 原文地址:https://www.cnblogs.com/4wheel/p/8462881.html
Copyright © 2011-2022 走看看