码迷,mamicode.com
首页 > Web开发 > 详细

Asp.net环境中的跨站脚本攻击环境搭建与试验

时间:2016-04-06 13:19:11      阅读:157      评论:0      收藏:0      [点我收藏+]

标签:

省略一万字的XSS介绍.....................

 

存储型XSS

第一种,通过参数传递的攻击:

假如把一个页面把参数直接输出到div里,代码如下

 

protected void Page_Load(object sender, EventArgs e)
{
   string paramStr = Request.QueryString["p"]!=null ?                         Request.QueryString["p"].ToString() : "";
            div1.InnerHtml = paramStr;
}

 

前台代码如下:

<div runat="server" id="div1"></div>

如果用户在正常情况下输入

http://localhost:20885/WebForm1.aspx?p=银河最帅

会得到下面的结果

 技术分享

此时页面源代码为:

 技术分享

 如果提交一段HTML代码

http://localhost:20885/WebForm1.aspx?p=</div><script>alert(‘xss‘)</script><div>

会发现alert(xss)被执行

技术分享

再看源代码:

技术分享

 

第二种,通过用户输入框的攻击:

前台代码如下:

<div id="div3"></div>
    <input id="txt2" type="text" />
    <input id="btn2" type="button" onclick="setXSS()" />

        <script type="text/javascript">
         //使用id的方式获取
         $(document).ready(function(){
             
             $("#btn2").click(function(){
                 var result1 = $("#txt2").val();
                 $("#div3").html(result1);
             });
            
         });
        </script>

在输入框输入:</div><script>alert(/xss/)</script><div>

点击按钮后会出现

技术分享

 

Asp.net环境中的跨站脚本攻击环境搭建与试验

标签:

原文地址:http://www.cnblogs.com/blogchina/p/5358694.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!