如果将脚本注入到私有页面中,XSS bug是否仍然很危险?

问题描述 投票:-1回答:1

假设网站上存在XSS错误。有一个简单的地址表单,提交表单后,输入的信息会在同一页面内中反映出来而不会被转义。输入的信息正在通过POST请求处理,因此您无法通过URL定义变量。因此,基本上,脚本被注入到私有页面中,该私有页面仅对发送恶意请求的用户可见。

可以以某种方式滥用此错误吗?这会对其他用户构成威胁吗?

这是示例代码:

<form method="POST" >

    <input type="text" name="addressline1" />
    <input type="text" name="addressline2" />

    <button>Submit</button>

</form>

<?php 

    if(isset($_POST["addressline1"]) && isset($_POST["addressline2"])){
        $adress = $_POST["addressline1"]."<br />".$_POST["addressline2"];
        echo "<h1>YOUR ADDRESS IS: <br />".$adress."</h1>";

    }

?>

我对这种安全知识不熟悉,因此我无法想到这种错误可能对其他用户构成威胁的情况。如果大家能帮助我,我将非常高兴。谢谢。

php security xss
1个回答
0
投票

攻击者只需要在他们控制的服务器上托管一个恶意页面,其中包括<form method="POST">和一些JavaScript,以便在页面加载后立即将其提交。

© www.soinside.com 2019 - 2024. All rights reserved.