如果我寫了一個惡意網站,上面有 XSS 的後續攻擊,然後我釣魚使用者點進來
這樣算 XSS 嗎 🤔
如果你能用讓你寫的 js 用對方網站的 domain 跑就是 xss 阿,不管你是用網址還是用 iframe 觸發怎樣的
自己再自己 domain 寫 js 不是 xss 阿
xss = Cross-Site Scripting
在自己網站寫 javascript...就是正常javascript 而已啊
你就算把瀏覽器玩壞,也是瀏覽器漏洞,關別人網站 xss 什麼事?
用某種方式在"不是你自己的"域上跑js就是xss吧
同一個 webapp 然後惡意的 js payload 來自 userinput 啊
你有一個不屬於你自己的網域 XXX.com ,然後你搞出了一段網址 reflective xss 插 js 進 對方的網站
重點在這網站是不是你掌控的,不是你有沒有 domain 吧
然後上面的
在自己的 evil.com 裡跑 evil.js ...這不就是正常跑 js 嘛
你本來就有 evil.com ,你能在上面跑 js 不是挺正常的?
如果是說
你有 `evil.com`,然後你 iframe 了一個 `victim.com`,
並用了對方站台的某個漏洞在 victim.com 裡跑了你自己寫的 `evil.js`,
這種才算 xss 吧?
reflective xss 的話最常見的應該是假連結就是了
畢竟這年頭不太有人會允許別人亂 iframe 自己網頁
我第一次知道 XSS 名稱的由來 我只知道讓他彈 alert 就好