qq_43574603 2022-09-19 20:45 采纳率: 50%
浏览 75
已结题

为什么我这个xss不运行

我通过漏洞成功对一个网站注入了XSS,但是js代码块没能运行,注入成功后代码回显如下

img

我实际上是使用了上述alert代码代替了该用户名,在页面上的用户名部分,因为被我的代码代替变成了不显示,控制台里面的元素script的显示是蓝色的,但是进入页面的时候并没有被alert呼出的对话框。
我将控制台的 html代码复制了一份到新的文件里并吧后缀改成.html,然后吧文件拖入浏览器,此时却能正确的弹出alert的窗口。网上搜类似问题都说是<>等符号被转义了,但是我这个显然没有,标签的颜色都是蓝色的,说明标签应该是正常的才对。
我想要达到的结果是,我注入的js代码能正常运行,即可用弹出alert的窗口。我看了一下网站前端是使用vue写的。请问,怎么样能弹出窗口或者能给我解释一下为什么js代码块没能运行成功
  • 写回答

3条回答 默认 最新

  • CSDN专家-showbo 2022-09-19 21:22
    关注

    设置dom的innerHTML,里面的js代码并不会执行,虽然是蓝色的,vue的xss注入一般通过v-html绑定富文本,但是包含script不会执行
    改为dom事件,比如img的onerror事件来自动执行,示例如下

    <div id="app">
    <div v-html="msg"></div>
</div>
<script src="https://cdn.jsdelivr.net/npm/vue@2/dist/vue.js"></script>
<script>
    var vue = new Vue({
        el: '#app',
        data: { msg: '<img onerror="alert(11)" src="xx">' }
    })
</script>
    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
  • CSDN-Ada助手 CSDN-AI 官方账号 2022-09-19 21:11
    关注
    评论
  • Z_pigeon 2022-09-19 21:19
    关注

    会不会是代码里面它重写了alert方法,就像这样

    <!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<script>
    window.alert = function (data) {
        console.log(data)
    }
</script>
<body>
    <div><script>window.alert(111)</script></div>
    <div>24342 </div>
</body>

</html>

    你可以试试在它网站的console里面输入alert(11)看看能否弹出,如果能弹出来那就不是这种猜想

    评论
查看更多回答(2条)

报告相同问题?

  • 为什么我这个xss运行 javascript xss 前端
    2022-09-19 20:45
    回答 3 已采纳 设置dom的innerHTML,里面的js代码并不会执行,虽然是蓝色的,vue的xss注入一般通过v-html绑定富文本,但是包含script不会执行改为dom事件,比如img的onerror事件来自
  • 有人知道这是什么原因吗?xss linux
    2023-03-08 15:50
    回答 2 已采纳 此错误消息通常表示 BeEF-XSS Web 服务器未运行或工作不正常。要解决问题,您可以尝试以下步骤: 检查BeEF-XSS服务是否运行:打开终端,输入命令“systemctl status b
  • 如何设计一个xss过滤器 java xss
    2023-03-06 17:25
    回答 2 已采纳 满足要求的XSS过滤器,可以采取以下步骤: 首先,定义一个过滤器类,该类包含一个过滤方法,用于接受需要过滤的输入字符串,然后返回已过滤的字符串。在过滤方法中,首先将输入字符串转换为小写字母,以防止大小
  • XSS前端防火墙—无懈可击的钩子
    2021-03-03 22:31
    当然,未必是系统函数,任何CPU指令都能被改写成跳转指令,以实现先运行自己的程序。无论是在哪个层面,钩子程序的核心理念都是一样的:无需修改已有的程序,即可先执行我们的程序。这是一种链式调用的模式。调用者...
  • 为什么Http-only可以用来防御XSS攻击? javascript web安全 有问必答 网络安全
    2022-10-11 20:31
    回答 3 已采纳 js获取不到设置cookie时添加了http-only属性的cookie内容,比如用户登录网站后的身份cookie值,cookie和身份session是关联一起的。但是xss还是可以做破坏,比如修改页
  • 关于论坛系统的防止XSS攻击的问题 vue.js xss 前端
    2023-04-19 18:41
    回答 3 已采纳 首先,XSS攻击(Cross-Site Scripting)是一种常见的Web安全漏洞,攻击者利用网站没有对用户提交的数据进行充分过滤或转义的漏洞,在网页中注入恶意脚本,以达到攻击目的。 在前端方面,
  • beef-xss打不开 apache linux php
    2023-03-08 23:03
    回答 2 已采纳 不知道你这个问题是否已经解决, 如果还没有解决的话: 给你找了一篇非常好的博客,你可以看看是否有帮助,链接:BeEF-XSS实验手记如果你已经解决了该问题, 非常希望你能够分享一下解决方案, 写成博客
  • 前端安全(XSS和CSRF)
    2022-09-08 22:54
    会飞的战斗鸡的博客 脚本中创建一个图片,图片中创建一个img,在img的src中将请求地址改为自己的脚本,并附带当前网站的cookie,就可以拿到cookie了。点击搜索,我们会发现,网站"执行了"我们的脚本,这样我们就实现了最简单的xss攻击。
  • 这个消毒是否有任何XSS泄漏 php xss
    2014-01-12 14:38
    回答 1 已采纳 From a security standpoint, there is no need to use your sanitize function as long as you escape /
  • jquery dom型xss手工利用 javascript jquery xss 有问必答
    2022-06-07 17:34
    回答 2 已采纳 贴出来的代码没看到具体html操作,notice这个扩展应该用到相关的html方法,可能存在xss注入漏洞,检查notice扩展的代码,相关参考 jquery html方
  • 程序里用了setAttribute(Stirng name, Object o)方法,如何对这个方法做xss处理 java xss
    2023-03-25 18:20
    回答 1 已采纳 参考GPT和自己的思路:你的代码是实现一个自定义的HttpServletRequestWrapper,用于在setAttrubute()方法中对传入的参数进行XSS处理。具体来说,stripXSS()
  • 前端安全XSS,CSRF
    2022-07-29 07:12
    前端-JC的博客 XSS(Cross-site scripting)跨站脚本攻击: 用户在页面渲染数据时注入可运行的恶意脚本 目的是盗用cookie,获取敏感信息,得到更高权限
  • 网页被测出xss 漏洞,常态处理已经用上了,没有说为什么有xss. 只说有xss. 请问怎么处理呢? xss
    2022-04-22 18:11
    回答 1 已采纳 添加拦截器进行过滤处理,需要去除一些脚本字符如script,望采纳! import java.io.IOException; import javax.servlet.FilterChain;
  • 前端xss 漏洞
    2022-03-15 18:11
    ~ climber ~的博客 1、数据从一个不可靠的链接进入到一个web应用程序; 2、没有过滤掉恶意代码的动态内容呗发送给web 用户。 xss攻击可以分为3类,存储型(持久型)、反射型(非持久型)、DOM型。 存储型XSS 注入型脚本永久存储在...
  • 前端安全系列】【万字详解】如何防止XSS攻击?
    2022-12-22 15:39
    东方睡衣的博客 跨站脚本攻击(XSS)是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。XSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的...
  • 没有解决我的问题, 去提问

问题事件

  • 系统已结题 9月27日
  • 已采纳回答 9月19日
  • 创建了问题 9月19日

悬赏问题

  • ¥15 stm32f103串口无法正常发送接收数据
  • ¥15 如何仅使用递归法改变链表顺序
  • ¥30 频率与占空比均可调的方波发生器
  • ¥15 VB6.0中PICTUREBOX加载本地图片无法显示
  • ¥100 关于游戏app session获取的问题
  • ¥15 爬虫程序爬取TTGChina网站文章代码
  • ¥35 由于系统缓冲区空间不足或队列已满,不能执行套接字上的操作。
  • ¥15 如何用下图方法在AMESim中搭建离心泵模型
  • ¥15 C#连接服务器,请求时报Ssl/Tsl未能建立安全通道
  • ¥15 xcode15build的c++ dylib在10.15上不兼容