web安全——XSS跨站脚本攻击

2022-12-12 21:17:06 浏览数 (1)

我是一名前端新手开发者,刚学习了怎么写js脚本。我感觉我好厉害,于是我想让别人知道我的厉害,我希望能让别人在访问网站的时候自动弹窗,显示打招呼的信息。

终于我找到一个有点名气的网站,XX网。里面有发表文章的功能,发表的文章别人也能够看到。经过研究我发现如果我在发表的内容中添加一些js脚本代码,打开这篇文章也是能够执行的。

于是我迅速发表了一篇标题为《想快速致富吗,来……》,里面的内容我添加了这样一段js代码。

<script>

alert("你好,我是蛋蛋!!!");</script>

当天好多点开我文章的人都认识了我,并问候了我家好多长辈。连网站站长都联系了我,说我很有天赋,在这个小地方屈才了。我很开心,我的天赋得到了认可。 ​

没过几天我发现这个游戏玩不起来了,于是我决定继续探索。

经过研究,我发现网站的搜索功能也可以做这个事情。输入要搜索的内容,然后会跳转到一个新的搜索结果页面,我要搜索的内容会显示在地址栏,而且搜索结果页面会拿到地址栏的信息并展示出来。

就像这样,www.XX.com?search=蛋蛋,页面上会展示蛋蛋。

于是我把我之前的js代码输入到搜索栏,发现成功了。但是我要怎么让别人也能看到呢?

思考了一下,有了,我直接把这个链接发给别人不就行了。

那别人会点击吗?于是我把链接稍微包装了一下,然后用站内邮件的方式发送给了我的站内好友。他们点击了链接,就可以看到我打招呼的内容啦。

我是这么包装的。恭喜您成为XX网的幸运用户,XX网目前举办十周年网庆。点击后面的链接,领取VIP大礼包。

当天,我收到了很多站内好友的问候。

晚上我兴奋的睡不着,想着要是我的js脚本不是打招呼的内容,而是……

0 人点赞