抱歉 不知道是不是在这里问
小弟很笨 我知道xss是一种恶意攻击
然而现在的论坛大多已经完备了吧？
我知道的有密码输入字段里面让他true 那种小学生骇客技巧
或者是在不限制字段的留言板狂塞图档 让网页/app读取过慢卡机
这种就很类似spam
或是没有防HTML码可以打语法(怎么都是低级的失误==)
我主要还想知道XSS 除了我所知这两三招的"恶作剧"功能以外
还能怎样？我了解的太少了....
分享一下 我自己是有实际操作的
之前很巧的发现一个不成熟的地方 还真的让我成功使用惹
某论坛回留言可以用JS语言 是有效的
这一定是一个很大的漏洞吧!!
但鲁鲁太笨 不知道要写什么 只有用循环测试给他跑
那个人收到我的回应 便会跳入到JS之运算 网页变跳到运算页面
等于他已经无法再用网页使用帐号
(我是对我自己使用 所以放心没有犯法啦 纯学术研究)
就这么弱而已@@
另外我之前好像有找那网站的饼干 我忘记是要干嘛了
印象中是有很大的作用 谁知道被知道饼干后会被作啥的八卦也分享一下

小学生招数就是大绝招阿曾经收过资料上来try Linux的权限 数据库的权限攻陷了能做啥？这就要问给钱的苦主有什么不想损失的

用浏览器上网时，会下载网站的script执行，这其实是很危险的一件事，让来路不明的程式码在使用者电脑上跑。针对这问题最基本的防护是script只能存取同domain的东西不管是cookie、local storage还是ajax都透过这个机制保护XSS就是跨过这个保护，是web上恶意攻击的基础以你的例子来说，如果那网站的session cookie没有HttpOnly你就能用js把对方的session cookie发送到你的server去，你就可以登入那个人的帐号，如果那个人是管理员，你就拿到整个网站的控制权了..

XSS 只是个弱点，它能干嘛，就看有无其他弱点可以串XSS 能干嘛，就看被串的其他弱点连后能干嘛只看 XSS 一个弱点，意义并不大