我越来越多地防止 xss 攻击,我这样做的方法之一是发现和修复漏洞。我注意到在我记录的许多攻击中都看到了 document.vulnerable。
我似乎找不到太多关于此的文档,所以我想知道它有什么作用或它的用途是什么?
问问题
1128 次
3 回答
5
AFAIK 这只是一种测试攻击是否有效的方法。您尝试将包含的脚本document.vulnerable = true注入页面,然后转到该页面并查看是否设置了 document.vulnerable。
于 2012-05-23T19:49:14.747 回答
3
据我所知,这只是 XSS 漏洞测试设置的标志。我基于我所见过的所有测试
...生成的 HTML 页面设置特定的 JavaScript 值 (document.vulnerable=true),然后该工具将该页面标记为易受给定 XSS 的攻击...
在这个 FF 插件的文档中看到:https ://addons.mozilla.org/en-US/firefox/addon/xss-me/
于 2012-05-23T19:51:15.857 回答
2
我不认为它有任何作用,它只是在文档对象上设置一个名为vulnerable.
当您看到 HTML 代码时:<IMG SRC="javascript:document.vulnerable=true;">在查看 XSS 攻击时,这只是在说“允许在此处插入 JavaScript 代码是危险的”。
于 2012-05-23T19:49:32.507 回答