视频展示什么是输入漏洞导致的XSS/HTML代码注入

这个视频是一个叫dwangoAC的哥们用Twitch录的,当时他在用TASBot玩SMB3。在他用Twitch聊天软件和观众聊天时,一些有趣的人开始用HTML和CSS注入来搞笑,没有恶意。dwangoAC则用视频记录下了观众利用漏洞进行的各种演示,告诉大家为什么需要过滤用户输入、防止原始HTML标记的传递。

左下角的聊天框被注入视频和alert框,注意右侧聊天框中注入的代码:

文字背景被改成绿色,注意右侧聊天框中注入的代码:

TASBot:Tool-Assisted Speedrun Robot,电脑辅助竞速设备,利用游戏模拟器把玩游戏时的每一帧中的操作记录下来,再用设备把操作记录输入到模拟器中,重现游戏过程。这个设备就是robot。
SMB3:Super Mario Bros 3,超级马里奥兄弟3。

这段视频在Youtube:
This is why you sanitize user input: Chat hacked live by XSS/HTML code injection, hilarity ensues

登录注册后才能评论。