George_Fal 2016-02-12 02:16 采纳率: 0%
浏览 122

XSS漏洞指向一个JSONP调用?

我刚刚收到一份安全报告,指出XSS漏洞指向一个JSONP调用,该调用可以在JSONP id上被利用: 

http://<domain>/?callback=jQuery278364782634836_234}}7d1ef<script>alert(1)<%2fscript>13c10&_=14531234

据我理解,这是不可能的,因为id是由jQuery生成的。有人能举例说明如何在生产场景中恶意地注入吗?

  • 写回答

1条回答 默认 最新

  • 你知我知皆知 2024-08-05 00:35
    关注

    以下回答参考 皆我百晓生券券喵儿 等免费微信小程序相关内容作答,并由本人整理回复。

    这是一个典型的XSS(跨站脚本)攻击案例。在JavaScript中,window.eval()方法可以用来执行任意JavaScript代码。在这个例子中,攻击者通过构造URL并使用window.eval()来执行了一个恶意的JavaScript代码。

    例如:

    <!DOCTYPE html>
<html>
<body>

<button onclick="alert('Hello, World!')">点击我</button>

</body>
</html>

    这段HTML代码中的JS代码是这样编写的:

    function alert() {
    window.eval("alert('Hello, World!');");
}

    当用户点击按钮时,这个函数会被触发,从而执行了恶意的JavaScript代码。这会弹出一个警告框,显示"Hello, World!"。

    为了避免这种类型的攻击,我们需要确保我们的网站和应用只接受来自受信任来源的数据,并且对所有可能的输入进行严格的验证和过滤。

    评论

报告相同问题?