使用過(guò)ASP的同學(xué)一定見(jiàn)過(guò)這樣的代碼： 
Hello,

假如我傳入的name的值為： 

這樣就可以直接盜取用戶的cookie。所以我就可以發(fā)送一條鏈接地址讓別人去點(diǎn)：
當(dāng)然這樣做沒(méi)有一點(diǎn)隱蔽性，雖然前面的xxx.com瞞過(guò)了少數(shù)人，但大多數(shù)人可以辨認(rèn)出后面的javascript代碼，所以，我只需要將后面的javascript代碼轉(zhuǎn)換成URL的16進(jìn)制，如： 上面的URL你還認(rèn)得嗎？除非你把它轉(zhuǎn)換出來(lái)。（進(jìn)制轉(zhuǎn)換可以使用Napkin工具，哎，太壞了。。）

根本原因
1. 沒(méi)有對(duì)輸入進(jìn)行約束，沒(méi)有對(duì)輸出進(jìn)行編碼
2. 沒(méi)有嚴(yán)格區(qū)分“數(shù)據(jù)”和“代碼”
示例
發(fā)現(xiàn)大名鼎鼎的淘寶網(wǎng)也存在這樣的漏洞，我們?cè)谒阉骺蛑休斎耄?


這樣，我們已經(jīng)修改了淘寶原有的頁(yè)面，在下面嵌入了百度的首頁(yè)。效果如圖：

使用時(shí)機(jī)
我嘗試在各種不同網(wǎng)站尋找 XSS漏洞， baidu, amazon.cn, youku.com, dangdang.com等等。結(jié)果，我發(fā)現(xiàn)XSS漏洞非常普遍！其實(shí)XSS利用的是網(wǎng)頁(yè)的回顯，即，接收用戶的輸入，然后再在頁(yè)面顯示用戶的輸入?？偨Y(jié) 一下幾個(gè)可能會(huì)出現(xiàn)漏洞的地方：

搜索引擎
1、留言板
2、錯(cuò)誤頁(yè)面
3、通過(guò)在上面那些類(lèi)型的頁(yè)面輸入一些特殊的字符（包括< > / "），如：</?jjkk>，然后在結(jié)果頁(yè)中的源碼處搜索是否存在原樣的：</?jjkk>，如果存在，恭喜你，發(fā)現(xiàn)了一個(gè)XSS漏洞。

最新評(píng)論