HTML注入
原理
目前我们所接触展示页面基本上都是由html来实现的,那么后台在处理内容的时候,是对html很少处理的,如果用户刻意通过输入框、文本框、查询框来填写html、js代码(脚本注入),那么就会造成漏洞,若填写恶意网站,病毒网站,这样是很恐怖的。
举个栗子
新建项目标题中添加html标签注入测试
结果:真的变成了一个链接
点击这个连接可以跳转过去,如果不是百度的连接,而是恶意网站呢,测试也是可以研究一下如何去避免注入的,比如通过将特殊字符进行转义,记不记得>,<,可以转义为>,<当然还可以使用其他方式,这个是可以去扩展的
XSS注入
原理
1、概念
XSS全称为(Cross Site Scripting)跨站脚本攻击
其实XSS攻击是web程序中最常见的漏洞之一,其实就是在网页中添加JavaScript(js)语句来攻击网站,脚本就在浏览器上执行时,可以通过获取用户cookie,导航到恶意网站,弹出恶意信息,携带木马病毒等,这些危害WEB程序真的是致命一击。
2、举个栗子
最常见的xss注入语句:在上一步的造作中,我将文件的标题输入为<script alert(‘hello,xss’)>;保存后,点击这个文件,xss注入就出现了,alert出了我们所输入的内容