抱歉 不知道是不是在這裡問
小弟很笨 我知道xss是一種惡意攻擊
然而現在的論壇大多已經完備了吧？
我知道的有密碼輸入欄位裡面讓他true 那種小學生駭客技巧
或者是在不限制欄位的留言板狂塞圖檔 讓網頁/app讀取過慢卡機
這種就很類似spam
或是沒有防HTML碼可以打語法(怎麼都是低級的失誤==)
我主要還想知道XSS 除了我所知這兩三招的"惡作劇"功能以外
還能怎樣？我了解的太少了....
分享一下 我自己是有實際操作的
之前很巧的發現一個不成熟的地方 還真的讓我成功使用惹
某論壇回留言可以用JS語言 是有效的
這一定是一個很大的漏洞吧!!
但魯魯太笨 不知道要寫什麼 只有用迴圈測試給他跑
那個人收到我的回應 便會跳入到JS之運算 網頁變跳到運算頁面
等於他已經無法再用網頁使用帳號
(我是對我自己使用 所以放心沒有犯法啦 純學術研究)
就這麼弱而已@@
另外我之前好像有找那網站的餅乾 我忘記是要幹嘛了
印象中是有很大的作用 誰知道被知道餅乾後會被作啥的八卦也分享一下

小學生招數就是大絕招阿曾經收過資料上來try Linux的權限 資料庫的權限攻陷了能做啥？這就要問給錢的苦主有什麼不想損失的

用瀏覽器上網時，會下載網站的script執行，這其實是很危險的一件事，讓來路不明的程式碼在使用者電腦上跑。針對這問題最基本的防護是script只能存取同domain的東西不管是cookie、local storage還是ajax都透過這個機制保護XSS就是跨過這個保護，是web上惡意攻擊的基礎以你的例子來說，如果那網站的session cookie沒有HttpOnly你就能用js把對方的session cookie發送到你的server去，你就可以登入那個人的帳號，如果那個人是管理員，你就拿到整個網站的控制權了..

XSS 只是個弱點，它能幹嘛，就看有無其他弱點可以串XSS 能幹嘛，就看被串的其他弱點連後能幹嘛只看 XSS 一個弱點，意義並不大