Hier ist ein einfaches Formular, das ich versuchen und mit XSS angreifen möchte. Ich verwende Chrome.XSS funktioniert nicht auf Formular
<?php
echo $_GET['comment'];
?>
<script>alert('from HTML')</script>
<form method="GET" action="">
Name:
<input type="text" name="name" />
<br/><br/>
Comment:
<input type="text" name="comment" />
<br/><br/>
<input type="submit" value="Submit" />
</form>
So trat ich in die comment
Text-Box folgenden: <script>alert('hi')</script>
. Es funktioniert jedoch nicht. Die einzige Alarm-Box, die erscheint, ist from HTML
, die ich direkt in den Code geschrieben habe. Wenn auf der Seite Quelle suchen folgendes geschrieben:
<script>alert('hi')</script>
<script>alert('from HTML')</script>
Warum ist es nicht die erste Ausschreibung der Ausführung?
Wenn Sie Chrome verwenden und die Standardsicherheitseinstellungen aktiviert sind, wird Folgendes angezeigt: 'Der XSS Auditor hat die Ausführung eines Skripts in 'http: //x/xss.php? Name = & comment =% 3Cscript% 3Ealert% 28% 27hello abgelehnt % 27% 29% 3B% 3C% 2Fscript% 3E 'weil der Quellcode in der Anfrage gefunden wurde. Der Auditor wurde aktiviert, da der Server weder einen Header 'X-XSS-Protection' noch 'Content-Security-Policy' gesendet hat. ' – apokryfos