本篇纯文字发表自己对自插型xss的看法
selfxss,顾名思义,自己输入xss脚本,输出仅自己看到,仅xss到自己。
常见的有:查询框的xss、某个账号中,添加自己的分组类等
查询框的xss:
即在查询框输入什么,则在输出的页面返回什么,然后没有过滤或编码引发,插入脚本后,弹出弹框,但刷新页面后又没有了,这种就为selfxss;当然有些系统有历史查询记录这个功能,为了用户体验而设计,刷新页面后可能继续弹框,因为历史查询数据缓存在浏览器或微信上,但也是只有当事人才看得到,也就是作案者同时也是受害者。
之前一直以为selfxss没卵用(可能是看了不健康的安全论坛)。
但由于有了csrf这种思路,打破了selfxss没卵用的神话。
大致可以总结为,selfxss只不过是要自己输入脚本post提交,如果我把脚本写在一个post的html里,然后引诱别人点击提交呢?好像有种反射xss的味道,效果又跟反射xss一样,一点就出事~原理上其实就是csrf。
一般这种查询框基本不会做csrf防护……所以selfxss的防止还是很有必要!!
