xss攻击

ss攻击全称跨站脚本攻击,xss是一种在web应用中的计算机安全漏洞,它允许用户注入特殊的代码,从而达到攻击的目的,例如,盗取cookie,破坏网页结构,重定向等。
XSS攻击的核心就是靠HTML < script >标签或元素属性来执行Javascript脚本。

评论功能,最简单的输入script alter(666)(博客园做了处理,会直接把script脚本过滤掉)
之前测试我朋友的博客网站,就攻击成功了,
其实tp中参数配置可以过滤的


// 默认全局过滤方法 用逗号分隔多个(全局配置)
'default_filter'         => 'htmlentities',

$data=input('post.','','htmlentities');  //局部配置

之前报名英语四六级的时候,意外发现了一个bug,四六级位置满了,通过修改前端代码,把按钮禁止disabled去掉,然后在浏览器控制台写一个js定时器,每隔0.5s点击这个提交按钮,
他会每隔0.5s提交,虽然他这个后台加了判断,但是没添加封禁功能,那么我可以通过这个js代码去刷这个考试名额。

posted @ 2021-04-15 19:15  爱时尚疯了的朱  阅读(77)  评论(0编辑  收藏  举报