XSS实例教学(给比我菜的人瞅瞅)

这是YY游戏直播的一个XSS,上报过,只是说没啥危害(反射型XSS,好像多数都没啥实际危害),所有俺也就来这里给写写为啥它能弹框框。

说是教学,其实俺还没达到能教别人的境界,只是给还没入门的人看看,XSS是怎么形成的,在俗一点就是它为什么能弹框框呢。

啥是XSS就不说了,不懂也没必要往下看了。

那XSS如何形成的呢?这说起来话就长了,长话短说呢就是:对用户输入的数据没做检查,或者是没有仔细检查,把用户输入的数据,当程序执行了。

链接:http://live.yy.com/index.php?m=Notice&page=1%22%3E%3Cscript%3Ealert%28/xss/%29%3C/script%3E&pageSize=20

图:

看payload的位置,就知道是page参数的问题了

在看图:

 

看到了没?上面直接输出了,输入的page参数是什么,输出的就是什么。

用">闭合了<a>标签,然后后面的alert就弹框框了,当然现在这样弹框框,IE都可以拦截下的,不过至少知道为啥它能弹框框了。

 

 

 

posted @ 2013-02-24 13:20  xss  阅读(718)  评论(0编辑  收藏  举报