黑客如何滥用javascript的eval()进行跨站点攻击？

文章/答案/技术大牛

发布

1回答

javascript、cross-site

我设置了一个reactJS组件，这样它就可以接受用户输入的javascript，并且它似乎可以工作。然而，我读到了以下内容：为了清楚起见:我正在退出插入的JS客户端，以确保没有任何代码可以扰乱我的服务器。那么，用户如何才能造成伤害呢？有什么可以“黑”的？如果用户只执行JS客户端，那

浏览 18提问于2020-06-01得票数 0

2回答

伊娃是做什么的，为什么是邪恶的？

javascript、eval

var myString = "x", x: 10value = eval("myObject." + myString);alert(myObject[myString]); 我在互联网上读到了关于eval()函数的文章，但是除了“--它评估表达式”之外，我无法真正理解它实际上做了什么。我们应该只对数值使用eval()函数吗？

浏览 2提问于2013-08-16得票数 6

回答已采纳

2回答

易受XSS攻击的站点可以用来攻击具有CSRF漏洞的站点吗？

xss、csrf

我听说过跨站点脚本攻击(XSS:攻击者向web应用程序注入恶意客户端代码(例如: JavaScript)的攻击)。和跨站点请求伪造(CSRF:攻击者欺骗已经通过身份验证的web应用程序用户向该易受攻击的web应用程序发送伪造请求的攻击)。大多数情况下，在CSRF攻击中，黑客会创建一个站

浏览 0提问于2018-09-26得票数 2

1回答

对于角度应用程序，我应该将JWT令牌存储在哪里，这些令牌是从Auth Server生成的？

angular、authentication、single-page-application

我有一个有登录页面(用户名和密码)的应用程序。成功通过身份验证后，我将从auth服务器接收access_token、过期、刷新令牌和其他声明。我需要将这些令牌存储在浏览器中的哪里，以便对于其他API请求，我可以提取access_token并附加到API的头上？在浏览器的localStorage中存储这些令牌是一种良好的实践和安全吗？因为当我们在Developer (chrome)中查看这些令牌时，它们是公开的。

浏览 0提问于2019-11-08得票数 5

回答已采纳

1回答

drupal跨站点脚本(反射)

drupal、drupal-7、owasp

站点已经在OWASP ZAP测试工具中运行，得到了跨站点脚本错误。请分享一些修复XSS问题的技巧。URL: example.com/sites/javascript:alert(1);/modules/lightbox2/js参数:全部可能发生黑客攻击的位置/文件。请建议如何解决XSS问题

浏览 1提问于2014-08-21得票数 0

1回答

这些跨站点脚本修复是如何工作的？

c#、xss

我的代码应该已经清除了跨站点脚本漏洞。例如：修改为：简单

浏览 0提问于2015-11-24得票数 1

回答已采纳

1回答

为什么攻击者会使用eval作为有效负载的一部分？

web-application、xss、javascript

但我正在进一步研究如何才能真正发动攻击。好的，我认为场景有很多明显的问题。要么使用接口(比如将受害者的钱转移给黑客)，要么在DevTools中执行代码？ <#>Instance C:黑客将恶意代码上传到公共论坛站点(如SQL )。当用户打开这个站点时，标

浏览 0提问于2020-03-14得票数 0

2回答

我只是不能让json发挥作用。全速停止。我几乎抄袭了http://api.jquery.com/jQuery.getJSON/却没有运气

javascript、jquery、ajax、json

 var PostID = $(this).html(); $.getJSON("http://tom.is-a-geek.org/tumblr/counters/thomee/go.php?c=yeeeboiii&i=" + PostID + "&justCount=y&format=json&jsoncallback=?

浏览 4提问于2011-04-20得票数 0

回答已采纳

1回答

使用第三方认证(如google/facebook )登录一个网站，当该网站被黑客攻击时，是否存在安全风险？

authentication、oauth2、sso

stackoverflow、quora等网站提供了从Google/Facebook登录的服务。如果是有数据泄露或者网站被黑了，你的Google/Facebook账户是否存在安全风险？

浏览 0提问于2018-12-04得票数 8

2回答

Cakephp安全

security、cakephp、xss、csrf、xsl-fo

我对Web应用程序的安全性是个新手。我正在用Cakephp开发一个应用程序，我的一个朋友告诉我关于跨站点请求伪造(CSRF)和跨站点脚本(XSS)攻击等等，不知道还有多少。我需要一些帮助来理解如何让Cakephp防御我的web应用程序。我们的预算很低，到目前为止，我们不能雇佣安全顾问。我们仍在开发该应用程序，并计划在月底发布。所以我想要处理一些可以帮助我不被黑客攻击的</e

浏览 1提问于2010-10-06得票数 9

回答已采纳

2回答

有什么理由注销网站吗？

authentication、web-browser、internet、websites、web

非公开WiFi) 用户对计算机和网络硬件有独占的物理访问权。

浏览 0提问于2017-02-27得票数 1

3回答

使用eval()执行用户提供的代码的问题？

javascript、eval

我有一个计算器小部件()，它使用javascript的eval()函数来计算用户的输入，以便作为计算器工作。它是chrome扩展中的一个嵌入式小部件，因此它没有任何数据库或任何其他可能会受到伤害的附加内容，也不会发送或接收任何数据。显然，由于它使用了javascript的eval函数，所以这个框可以执行任何javascript。这样做有什么风险吗？我是javascript的新手，所

浏览 5提问于2011-11-12得票数 1

回答已采纳

1回答

如何将XML数据导入Google Chart？

javascript、xml、ajax

我不能完全确定这是不是正确的问题，所以如果我看起来含糊其辞，我道歉。我将尝试解释我的情况，希望得到一些方向，从哪里开始我的研究。如果你能看出来，我才刚刚开始，想要从仅仅了解HTML和CSS开始扩展。我的问题是，我如何开始使用这些数据(存储在他们的服务器上)，并最终导入它，并将结果显示在Google Visualization上？据我所知，Ajax可以检索它。我也看到人们提到了几乎所有其他的web编程语言。jQuery.get()方法看起来也很像我正在寻找的</

浏览 1提问于2011-11-13得票数 2

回答已采纳

1回答

网页开发人员是否有必要知道如何黑入网站？

web-development、security

我只是想知道，对于一个网页开发者来说，有必要知道如何破解网站而不是开发一个网站吗？

浏览 0提问于2011-06-26得票数 6

2回答

只有http的cookies有什么意义？

http、security、cookies、xss、csrf

假设你的网站受到了XSS攻击。黑客可以使用cookies发出任何请求。那么，对客户端隐藏这个值有什么意义呢？

浏览 0提问于2017-07-02得票数 0

1回答

是否有必要使用内联JavaScript和React？默认情况下，React会被(CSP)阻塞吗？

javascript、security、reactjs

“这是否意味着在编写React (或ReactNative)代码时必须使用内联JavaScript？

浏览 0提问于2016-09-12得票数 0

回答已采纳

2回答

“防XSS防护”，在ajax响应前添加)]}‘

google-plus、xss

Google plus在第一行返回带有)]}'的ajax请求。我听说这是对XSS的保护。有没有任何例子，如果没有这种保护，任何人都可以用它做什么以及如何做？

浏览 0提问于2011-07-13得票数 10

回答已采纳

1回答

一般来说，在javascript中，使用innerHTML不是安全问题吗？

javascript、security、sql-injection、innerhtml

使用DOM和酷酷的新工具(如reactjs )，innerHTML是否应该在javascript程序中使用？使用它在很大程度上就像让自己面对SQL注入攻击，但是这里是跨站点脚本等等，在使用它之前，所有的东西都需要检查和清理。在我看来，innerHTML与eval()有相同的安全问题，应该避免使用不安全的原因。 (也是美学上的，但那只是我。)

浏览 1提问于2015-03-24得票数 0

回答已采纳

2回答

有没有可能建立一个高流量的Drupal社区网站而不进行黑客攻击？

我想从那些建立了一个高流量Drupal社区网站(一个每月至少有50万访问者，在任何时候都有10,000到20,000名通过身份验证的用户)的人那里了解到，是否可以创建这样的站点而不需要进行高级别的黑客攻击才能实现Drupal的规模？如果没有大量的查询和其他类型的黑客/编码，标准的Drupal规模可以吗？我是否可以安装Drupal，配置所需的模块，然后添加更多的</

浏览 0提问于2012-07-19得票数 3

点击加载更多