学校真的会看推荐信的mac地址、ip和浏览器cookie吗

如果是同一个浏览器确实会暴露，就像你换VPN不影响你已经登陆的网站继续保持登录状态。

宁可信其有 不可信其无， 就看学校想不想查其实这是很严重的作弊。 学校有了证据的话不可能不管

李太白 发表于 2020-12-20 21:14
无杠，单纯纠正：

XSS是站在攻击者角度的手段植入js代码的手段。 作为开发者想获取cookie不需要任何漏 ...

网站获取自己和用户之间的session cookie当然不需要额外手段（header里自带的）

这里是指攻击者（即学校网站）用XSS获取用户访问其他网站的cookie（即“浏览器cookie”）来做browser fingerprinting

李太白 发表于 2020-12-21 13:14
无杠，单纯纠正：

XSS是站在攻击者角度的手段植入js代码的手段。 作为开发者想获取cookie不需要任何漏 ...

网络安全专业来顶一下，确实。
开发者后台数据库必然记录cookie的，跨站脚本攻击（XSS）是第三方越权窃取、入侵、控制隐私信息。

EroicaCMCS 发表于 2020-12-21 17:47
网站获取自己和用户之间的session cookie当然不需要额外手段（header里自带的）

这里是指攻击者（即学 ...

XSS的定义就是我前面提到的，非网站所有者向页面注入js代码

你这边提到的完全不是XSS， 并且这个可能性极小，如果发生要么是浏览器的漏洞，要么是web协议本身的漏洞了，建议阅读“同源策略”相关

李太白 发表于 2020-12-21 05:03
XSS的定义就是我前面提到的，非网站所有者向页面注入js代码

你这边提到的完全不是XSS， 并且这个可能 ...

常见的XSS分为两种：persistent/stored XSS 和 non-persistent/reflected XSS。“非网站所有者向页面注入js代码”是指stored XSS。你说的没错，stored XSS并不适用于这种情况，因为学校是网站的所有者，而不是第三方攻击者。

问题是同源策略（SOP，same-origin policy）并不能防止reflected XSS [1]，注意我们的attack model里假定学校是攻击者（不妨称之为evil.edu），他希望得到用户在某社交网站（不妨称之为vulnerable.com）的信息来确定用户的身份，那他可以在用户访问evil.edu的时候，诱使用户点击连接：

https://vulnerable.com/search?q=<脚本>SendUsernameToEvilEdu()</脚本>

从而获得用户在其他网站的cookie/username/pw etc。在这个例子里，SOP显然并不能防止XSS，而且这个也不需要什么浏览器的漏洞。事实上通过这种方法evil.edu可以执行任意script，那么自然也可以得到在vulnerable.com的任何信息。

当然了，就像我前面说的，正常的学校网站并不会做这种事情。

参考:
[1] https://stackoverflow.com/questi ... -same-origin-policy

PS：为了防止stored XSS，我发现这个论坛的设定是把带有<脚本> tag的帖子都屏蔽了，脚本 -> script

小秘要有这电脑水平，为什么不做码农而要做小秘

EroicaCMCS 发表于 2020-12-21 22:45
常见的XSS分为两种：persistent/stored XSS 和 non-persistent/reflected XSS。“非网站所有者向页面注入 ...

懂你意思了，你是假设学校在能找到某个非常广泛应用的社交网站的前提下还要诱使用户点击，那确实是可以的。
并且储存型xss也适用的，学校在A页面植入js，诱导学生打开A页面即可。比起反射型还更好，因为几乎所有主流浏览器都会拦截反射型的xss

并且除了xss还有找到目标社交网站特定csrf也能做到（例如给学校账户发私信并删除），优点是不需要用户去点击。

不过同意你说的， 学校应该不会做这些违规获取信息的事情。

李太白 发表于 2020-12-21 08:28
懂你意思了，你是假设学校在能找到某个非常广泛应用的社交网站的前提下还要诱使用户 ...

用CSRF来发私信是个好办法

yoyfefe 发表于 2020-12-19 02:44:24
（想借楼问一下，一般看ip地址是只看提交网申的，还是每次登陆也会看啊

同问，楼主有答案了吗