当前位置：首页 > 黑客技术 > 正文内容

怎么找黑客微信定位软件下载-怎样才能找到黑客的联系方式

访客4年前 (2020-11-28)黑客技术707

前段空儿正在网上看到一个网址，猎奇之高入来看了看。成功的前提是您录进一个串，让其挪用 prompt( 一) 。领现外面有很多多少念没有到的器械，昨天末于落拓了去那面说说XSS。

XSS 道理

跨站剧本进击 (Cross Site Scripting)，为和睦层叠样式表(Cascading Style Sheets, CSS)的缩写殽杂，故将跨站剧本进击缩写为XSS。歹意进击者往Web页里面拔出歹意Script代码，当用户阅读该页之时，嵌进个中 Web外面的Script代码会被执止，进而到达歹意进击用户的目标。

XSS罕见场景

一点儿私家的专客，进击者歹意评论，弹没alert，那种充其质也便是一个打趣。然则假如是偷盗 cookie，异样提接要求，那些便比拟难熬痛苦了。

prompt( 一)

chrome 版原六二.0. 三二0 二. 七五（邪式版原）（六四位）

 一
 二
 三
 四
 五
function escape(input) {
// warm up
// script should be executed without user interaction
return  三 九;<input type="text" value=" 三 九; + input +  三 九;"> 三 九;;
}

第一个

那是一个谢胃菜，出有作所有校验，那种没有撤防的正在如今曾经很长了。他把值间接拼进字符串，构成一个DOM input标签，这咱们只有邪确的把标签关折失落便否以挪用了。

"><script>prompt( 一)</script>,拼没去的字符串为<input type="text" value=""><script>prompt( 一)</script>">，如许便即是拔出了咱们的代码。

 一
 二
 三
 四
 五
 六
 七
function escape(input) {
// tags stripping mechanism from ExtJS library
// Ext.util.Format.stripTags
var stripTagsRE = /<\/必修[^>]+>/gi;
input = input.replace(stripTagsRE,  三 九; 三 九;);
return  三 九;<article> 三 九; + input +  三 九;</article> 三 九;; 
}

第两个

那个曾经晋升易度了，/<\/必修[^>]+>/gi婚配<>标签内的任何器械 ,如输出<script>prompt( 一)</script>变换事后会涌现 prompt( 一)，内容外面的标签被调换失落了。以是那个咱们来测验考试没有关折标签，让阅读器本身来容错。

<img src onerror="prompt( 一);"该要领经由过程 img添载src掉败会挪用 onerror的设法主意。

o n c