现在很多的网站,BBS都有留言板,我们来看一下给大家准备的网站:
在这里呢,留有输入框给用户进行留言,来发布个人对该网站的看法等。
但是作为这个留言板的开发人员你有注意过用户写入的内容都是安全的么?你对其输入的内容有限制么?如果没有限制那这里就会存在一个存储型的xss,一旦存在这个漏洞,轻则会获取管理员cookie,严重的话就会利用该漏洞对服务器感染病毒木马,甚至利用该网站进行传播病毒和木马。危害极大。
这里呢我们插入来将我们当前用户的cookie进行弹出:
插入后我们的页面直接就会弹出如下:
那么仅仅是弹出这个cookie这么简单么?肯定不是的,我们可以自己在公网上搭建xss平台也可以利用他人搭建好的xss平台来远程获取cookie(利用他人的xss平台他人也会看到哦)
大家可以去网上自行查找使用。
