수업에 대한 최종 시험을 준비 중이며 숙제 문제를 해결하려고합니다. 이것은 제가 처음으로 영 (0) 학점을 받았다는 것 중 하나입니다.크로스 사이트 스크립팅 공격, 문제
이 연습의 목표는 아래 HTML이있는 페이지를 가리키는 URL을 작성하고 협업 정책을 의도 한대로 표시하는 대신 자체 작성한 사용자 협업 정책을 표시하는 것입니다.
가
이 웹 사이트 http://www.xs4all.nl/~jlpoutre/BoT/Javascript/Utils/endecode.html
를 사용하여이
<script>document.getElementById('collab').firstChild = 'test';</script>
를 이스케이프 ... 성공없이 다음 시도하고 이런 식으로 추가 ... www.cs.edu /vulnerable.html/?[ 여기에 이스케이프 처리 된 스크립트 삽입]이 작동하지 않았습니다. 내가 여기서 잘못 가고있는 어떤 생각?
다음은 악용하려는 페이지의 HTML 코드입니다 (vulnerable.html).
<html><head>
<script>
function loaded() {
var parsed = document.location.href.match(/\?(.*)/);
if (parsed && parsed[1])
eval(unescape(parsed[1]));
}
</script>
<title>Example Page Title</title></head>
<body onload="loaded()" bgcolor="#ffffff">
<font face="Arial,Arial,Helvetica">
<table border=0 cellspacing=4 cellpadding=4>
<tr>
<td valign=top width="20%" bgcolor="#ffff66">
<p>
<p>
<p>
<a href="home.html">
Home</a> <p>
Course description <p>
<a href="notes.html">
Lecture notes</a> <p>
<a href="assign.html">
Assignments</a> <p>
<a href="ref.html">
Reference</a> <p>
<p>
<p>
<p>
</td>
<td valign=top width=800>
<h2 align=center>
Example course title
</h2>
<p>
<h3 align=center>Fall 2010</h3>
<p>
<h2>Syllabus</h2>
Syllabus here...
<h2>Collaboration policy</h2>
<P id="collab">
All assignments are strictly individual. No collaboration
is permitted.
</td>
</tr>
</table>
</font>
</body>
</html>
일반적인 팁으로, 어디까지 망칠 볼 수있는 방화범이 끌려. JS의 페이지를 콘솔의 페이지에서 실행하여 테스트 할 수 있습니다. –
나는 그런 숙제를 받았으면 좋겠다. – naugtur