作者发现博客园在首页显示摘要时未做html标签的过滤,致使摘要中的html代码可以被执行,从而可以注入任何想要被执行的js代码,作者利用这一缺陷在本文摘要中插入了一段js代码执行alert弹窗,同时增加另一片文章的访问数量,并无恶意代码,可以通过下面地址进行体验:
相关文章
- 跨站脚本攻击(Cross‐Site Scripting (XSS))实践
- XSS 跨站脚本攻击预防(文件上传)
- Nginx 防止跨站脚本 Cross-Site Scripting (XSS)(漏洞修复)
- Web安全测试之XSS(跨站脚本攻击) XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网站,携带木马等。
- XSS 跨站脚本检测,常见攻击手段——反射型
- web 安全 & web 攻防: XSS(跨站脚本攻击)和 CSRF(跨站请求伪造)
- xss 跨站脚本攻击
- 记录一次网站漏洞修复过程(三):第二轮处理(拦截SQL注入、跨站脚本攻击XSS)
- DVWA 黑客攻防演练(十一) 存储型 XSS 攻击 Stored Cross Site Scripting
- 网站安全系列:跨站脚本攻击XSS