javascript - 使用 XSS 在服务器端更改已经存在的 javascript 文件
问题描述
我目前正在尝试研究和调查使用“存储的 XSS”来操纵网站 javascript 文件的可能性。
因此,举个例子,如果一个网站加载了一个名为“infinite-scroll.js”的脚本,并且假设它容易受到 XSS 攻击,是否可以使用 XSS 将我自己的代码添加到“infinite-scoll.js” ? 然后将其存储到网络服务器,以便将来访问该网站的任何人也会看到带有我更改代码的脚本?
干杯:)
解决方案
不。
XSS 漏洞是服务器获取用户输入,然后在没有适当转义的情况下再次输出,从而导致站点设计者预期被视为文本的内容被视为可执行 JavaScript。
存储漏洞是将输入保存到服务器并稍后输出的漏洞。例如,评论系统可能会询问您的姓名,您可以将其命名为<script>alert('XSS');</script>,然后该 JavaScript 将在稍后查看该评论的任何人的浏览器中运行。
虽然可能存在允许攻击者使用自己的版本覆盖静态 JavaScript 文件的漏洞,但它通常不会被归类为 XSS。
推荐阅读
- python-3.x - 如何访问包含 500000 个元素的列表,并且列表中的每个元素应小于 1500000(Python)?
- java - 如何从 Java 设置 TextView 的文本
- php - Apache(W10 上的 wampserver 3.2)虚拟主机正在重定向到外部 url 而不是本地文件夹
- outlook - 将过期设置为会话时,Cookie 不会留在 Windows Outlook App 加载项中
- java - 我们如何在 PostgreSQL 中使用加密获取地理服务器中的原始数据
- ios - 如何从模拟器中删除应用程序缓存而不在 UI 测试中删除应用程序本身
- node.js - 允许用户在节点 js 中一次从两台设备登录
- reactjs - 如何检索我的状态对象中的键并将其作为参数传递到另一个视图中?
- azure - 如何在发布请求(Web 活动)Azure 数据工厂中将文件作为参数传递?
- python - 在python中组合两个列表