Я знаю, что уязвим как хакер может встроить изображение, которое посещает URL сайта и сделать все виды с параметром «сообщения»:Является ли это уязвимым для XSS?
<script>
var message = // get message parameter from URL, e.g domain.com?message=hello+there
document.write('Your message: ' + message);
</script>
... но есть ли способ, хакер мог бы сделать что-нибудь с этим (самостоятельно, без какого-либо другого JS) ?:
<script>
function displayMessage(message) {
document.write(message);
}
</script>
Очевидно, что я мог бы открыть консоль в браузере и ничего типа, но может хакер вызвать метод JavaScript каким-то образом (с этим кодом в одиночку)?
Я знаю, что метод может быть вызван, если на веб-сайте также был код на самом верху, но может ли метод быть вызван сам по себе?
КПП. Я не собираюсь делать это выше, это просто помогает мне понять это.
Что я пробовал?
- Читайте много Документов на owasp.org
- гугл таких терминов, как «XSS - вы можете вызвать метод»
- http://excess-xss.com/
- http://www.golemtechnologies.com/articles/prevent-xss#how-to-test-if-website-vulnerable-to-cross-site-scripting
- Читать многие из подобных вопросов, показанных на панели навигации при вводе этого вопроса
Все, что вы сделали, это обернуть его функцией, да оно все еще уязвимо. – Ian
Что означает «получить параметр сообщения из URL»? Вы имеете в виду «сообщение» - это ненадежная строка, которая может содержать любой вредоносный код? – Oriol
Мне просто интересно, какой будет домен, если 'document.write' был вызван после того, как страница была проанализирована? Он откроет новый документ, но сохранился ли исходный домен? – Teemu