河北涿州住房和城乡建设厅网站,建设网站规模与类别,wordpress小工具视频,wordpress 安装路径突然的发现
今天上网冲浪#xff0c;突然想起来有一种神器#xff0c;叫废话生成器#xff0c;之前是在哪里下了个软件玩了一下#xff0c;然后就给删除了#xff0c;因为我觉得这个软件不过就是调用了一个web接口实现的#xff0c;一个网页能解决的事还要我下一个软件。…
突然的发现
今天上网冲浪突然想起来有一种神器叫废话生成器之前是在哪里下了个软件玩了一下然后就给删除了因为我觉得这个软件不过就是调用了一个web接口实现的一个网页能解决的事还要我下一个软件。 于是乎我搜索找到一个网站 点击生成后一篇牛头不对马嘴的文章生成了当时就挺好奇的我多次点击生成反应速度也快而且内容相似 我ctrl f进行搜索这个关键字。 看到结果的瞬间脑子里突然有个想法有没有可能有XSS漏洞呢因为结果直接反应在网页上 于是乎 果然有XSS注入我换成了图片 很哇塞有没有
漏洞的成因
通过进一步研究发现是一个DOM型的XSS漏洞因为根本就没有网络请求 看了下源代码漏洞应该是从这里产生的 使用了InnerHtml也是够省事了而且变量命名和函数命名我也是第一次见直接用中文了
其他
我去逛了很多其他相同功能的网站居然无一幸免全部都有DOM型的XSS要不是看了源码我真以为用的同一套源码呢
如何防范
对于用户的输入要回显在网页上除了服务器要使用HTML编码外在本身js尽量避免使用innerHTML而是用innerText
