从界面推测,这个是火狐下进行渗透测试的扩展,名字叫做:HackBar。
主要是进行sql注入、xss注入、编码、反编码之类的测试,以找到网站的应用层漏洞。
目前开发者使用最多的是Firebug,这个工具集成的功能也最全,如果还需要其他功能,可以在火狐扩展中心按名称搜索,一般用户比较多的应该更优秀一些。
从界面推测,这个是火狐下进行渗透测试的扩展,名字叫做:HackBar。
主要是进行sql注入、xss注入、编码、反编码之类的测试,以找到网站的应用层漏洞。
您好!很高兴为您答疑。
如果您说的是跨站脚本攻击(Cross Site Scripting),这个是一种行为,并不是什么客户端语言,故而只存在是否可以有效防范,而不存在禁不禁用一说。
如果对我们的回答存在任何疑问,欢迎继续问询。
Quick Translator对谷歌翻译返回未经过滤直接输出,导致XSS
不知道什么原因,直接翻译script标签是不行的,所以需要借助img等其他标签。Quick Translator默认设置为检测语言,而谷歌翻将英文翻译成中文时会将引号转换为全角,并在其他符号后面加空格,所以需要加上一些中文字符让谷歌翻译认为提交的是中文。
说了这么多,看个例子吧,以下代码用Quick Translator翻译从中文翻译到英文会弹框(右键翻译和在对话框输入是一样的)。
img src='#' alt='中文中文中文中文中文中文中文中文中文中文中文中文中文中文中文' onerror='javascript:alert(document.domain)'/
由于没有人会憨厚到选中代码翻译,所以需要将这段代码隐藏起来,同时不影响选中。仿照论坛复制干扰码,将其进行html转义后放在一个指定文字大小为0px的span中;同时,由于实际触发点位于右下角翻译结果处,为了隐藏图片需要给图片加上display:none样式;最后,将这段代码插在一段很少有人认识的语言中,例如الاشتراكية جيدة ,使得别人可能会去翻译这句话。
最后的poc如下:
الاشتراكية جيدة span style="font-size:0px;"img src='#' alt='中文中文中文中文中文中文中文中文中文中文中文中文中文中文中文中文中文中文中文' style='display:none' onerror='javascript:alert(document.domain)'/span الاشتراكية جيدة br
可以在某些公共博客、论坛之类发个吸引人的帖子,然后引用一段官方的“原话”作为证据(选个较为少见的语种,比如德语意大利语之类),并在其中插入代码。
例子:躺中枪的某程序猿博客
要是以“nodejs进阶技巧”等热点技术发个帖,并在资料引用处插入poc,会有多少人中招?
修复方案:
prexmpxxx/xmp/pre
每种浏览器采用的技术不一样,所以火狐没有xss filter也正常,火狐有自己的技术和优势,很多开发者就是喜欢火狐的开发者工具。
这么容易绕过就不配称为最安全的浏览器了 ,有能力就抓虫,奖励很丰厚哦
我来说两句