走进不科学 第262节(2 / 7)
徐云看了他一眼,脑袋微微一侧,疑惑道:
“不仅限于攻破官网?这是什么意思?”
小榕在键盘上敲击了几下,随后指着屏幕道:
“徐博士,你看这个。”
徐云顺势望去,只见屏幕上显示着一行代码:
localhost:8080/test?name=scriptalert……
“这是在请求参数放置url中的js代码,直接导向国科大官网的web服务器后端。”
小榕先解释了一遍这串代码的用途,随后说道:
“这是一种反射型的xss攻击,可以与csrf一同形成跨站请求伪造,从而获得一个极短的管理权限。”
“这个管理权限会将本应该返回给用户的json数据进行拦截,转而将数据发送回给恶意攻击者,也就是我们俗话称的json劫持。”
“换而言之……”
“对方不但想破解我们的官网,还想获得我们的数据库。”
徐云闻言,瞳孔顿时狠狠一缩。
饶是他两世为人,此时也有些心绪不定:
“数据库,艹,真狠啊……”
↑返回顶部↑
“不仅限于攻破官网?这是什么意思?”
小榕在键盘上敲击了几下,随后指着屏幕道:
“徐博士,你看这个。”
徐云顺势望去,只见屏幕上显示着一行代码:
localhost:8080/test?name=scriptalert……
“这是在请求参数放置url中的js代码,直接导向国科大官网的web服务器后端。”
小榕先解释了一遍这串代码的用途,随后说道:
“这是一种反射型的xss攻击,可以与csrf一同形成跨站请求伪造,从而获得一个极短的管理权限。”
“这个管理权限会将本应该返回给用户的json数据进行拦截,转而将数据发送回给恶意攻击者,也就是我们俗话称的json劫持。”
“换而言之……”
“对方不但想破解我们的官网,还想获得我们的数据库。”
徐云闻言,瞳孔顿时狠狠一缩。
饶是他两世为人,此时也有些心绪不定:
“数据库,艹,真狠啊……”
↑返回顶部↑