XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。而本文主要讲的是利用XSS得到目标服务器的shell。
Xss(cross-site scripting)攻击指的是攻击者往Web页面里插入恶意html标签或者javascript代码,当用户浏览该页或者进行某些操作时,攻击者利用用户对原网站的信任,诱骗用户或浏览器执行一些不安全的操作或者向其它网站提交用户的私密信息。
比如:攻击者在论坛中放一个看似安全的链接,骗取用户点击后,窃取cookie中的用户私密信息;或者攻击者在论坛中加一个恶意表单,当用户提交表单的时候,却把信息传送到攻击者的服务器中,而不是用户原本以为的信任站点。
诸如此类,唯一能完全杜绝xss攻击的方法,就是禁用script,img等,显然这是不靠谱的,用户需要丰富的页面内容;当然我们可以用一些方法预防xss攻击,尽量减少xss造成的危害。
XSS攻击的危害包括
盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号
控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力
盗窃企业重要的具有商业价值的资料
非法转账
强制发送电子邮件
网站挂马
控制受害者机器向其它网站发起攻击
路径问题,你的主页放在哪个文件夹? img src="../images/tupian.png" 试试
SRC的值是图像文件的 URL,也就是引用该图像的文件的的绝对路径或相对路径。绝对路径就是从磁盘根目录到目标文件的路径;相对路径就是从当前位置指向目标文件的路径。
img src=""" /
代码写错了,还多了个“"”调用本地文件是“\”而不是“/”。而且路径不对,比方说你要调用的是c盘image文件夹里的1.gif图像,代码应该这样:
img src="file:\C:\image\1.gif" /,再比如你要是调用网络图像可以这样。
img src="http://域名/文件夹/logo.gif" /
比如img src="" /
div class="28db-3ce7-bcab-b9db content"input id="v_file" type="file" style="display:none;" onChange="play()"/button id="play" onClick="yincang()"播放/buttonvideo id="video_id" controls autoplay/video/divscript
function yincang(){
var v_file=document.getElementById('v_file');
v_file.click();
}
function play(){
var file = document.getElementById('v_file').files[0];
var url = URL.createObjectURL(file);
console.log(url);
document.getElementById("video_id").src = url;
}
/script
用display把input隐藏起来,然后注册一个click事件,这样就完成了你想要的功能。
这个问题就很多了 第一个你这个脚本是什么时候载入的 是不是执行到了 你最好alert一下big3
另外你要改的是big3.src 最好这样写var big3=document.getElementById('big');big3.scr=big3.src.replace('_ok','');
我来说两句