说一点点关于 XSS 的东东 —— 借刀杀人

百度百科中对 XSS 有这样的描述:

恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。

XSS 的手法是灵活多变的，所以让很多 WEB 开发人员防不胜防。


扯一扯个简单的吧。

还是得从 摸摸跟杰杰这对冤家开始。。。
--------------------------------

话说看到杰杰的积分就是长的快，摸摸非常不服气，而且杰杰还当了超版，摸摸更是郁闷死了。。。


摸摸就一心想把杰杰给   了


于是乎，摸摸就找啊找啊，发现如果下面页面地址正常响应的话，

http://www.iscripts.org/admin.php?action=members&operation=clean&uidarray%5B%5D=6

杰杰的账号就会被删掉!

不过，摸摸还是没能这么把杰杰删了，因为摸摸是普通会员，请求这个页面，服务器是不会理摸摸的


但是，如果是混混请求这个页面地址的话，结果很显然啦 —— 杰杰的账号将会被删除了。


---------------------------------

这个时候呢，聪明狡诈的摸摸就使了一套连环计

摸摸，去发了一个帖子 《悲催! 本人艳照外流...》，摸摸当然是想吸引混混浏览，才出此 XSS/美人/苦肉/连环计的。

然后在帖子中，发布了一堆个人艳照....

1.         [img]http://www.iscripts.org/摸摸艳照1.jpg[/img]
   
2.         [img]http://www.iscripts.org/摸摸艳照2.jpg[/img]
   
3.         [img]http://www.iscripts.org/admin.php?action=members&operation=clean&uidarray%5B%5D=6[/img]
   
4.         [img]http://www.iscripts.org/摸摸艳照3.jpg[/img]
   
5.         [img]http://www.iscripts.org/摸摸艳照4.jpg[/img]
   
6.         ...

复制代码

看到了木有，有木有？？

摸摸在中间放了一张特殊照片。。。


就是这张照片，就是这个地址，混混在看看《摸摸艳照门》的时候，不知不觉得的就把杰杰给删了。。。。



-------------------


在这里呢，摸摸通过发布带有欺骗性的内容，在他人不知情的情况下，引导他人请求具有特定功能的页面。
这也是 XSS 的一种普遍手法。。

------------------

工程师们，你注意到了吗？你以后写网站会考虑这个问题吗？

拜读了 真有才啊

混混@普宁.中国 发表于 2011-6-16 14:22
摸摸不要急，不要急，这个问题有没有考虑过

好吧。我用指纹验证

momo 发表于 2011-6-16 12:21
混混老头你这个坏淫，屎淫！！！

摸摸不要急，不要急，这个问题有没有考虑过

  哈哈，混混是人才噶、、、我先前没仔细看，嘎嘎

混混居然把XSS解释的如此之幽默，实在是佩服佩服啊！！！

混混老头你这个坏淫，屎淫！！！

没看懂

哈哈，上面穿插的人物及故事情节纯属虚构，如有雷同，实属巧合。。。


-------------
不过，如果摸摸你想试一下，的话，美人计，和苦肉计 连环都可以。

XSS就不用试了。。。。

对本论坛无效！

因为 discuz 在管理员施行管理工作前是要求二次登录的
并且采用了令牌机制
提交请求之前是先发放一张令牌
提交请求时，需要将令牌一并提交, 服务器才会正常响应