是的,您正在查看的是反射性XSS攻击。这很危险,因为它允许攻击者劫持经过身份验证的会话。如果您在系统上运行此代码,则攻击者将能够访问其他人的帐户而无需知道其用户名/密码。
XSS漏洞也可以用来绕过CSRF保护。这是因为XSS允许攻击者使用XmlHTTPRequest读取CSRF令牌的值。XSS也可以用来欺骗引用检查。
这是手动测试xss的简单方法,在这里我打破了HTML注释以执行javascript。
http://localhost/xss_vuln.jsp?paramName='--><script>alert(document.cookie)</script><!--'
这是一个免费的xss扫描仪,您应该测试所有编写的应用程序。
