本文详细解析了网络安全中的XSS问题,重点讨论了htmlspecialchars函数在防止注入中的作用,以及如何利用referer头部构造POC。作者承诺会继续分享XSS-LabsLevel12的解题内容。
读者可参考、订阅专栏:Xss-Labs靶场攻防实战
姿势
逻辑后端代码:
htmlspecialchars 函数将特殊字符转换为它们对应的 HTML 实体,故str00不可注入
发现str33是一个注入点,它是由str11经过滤得到的,str11又是referer请求头
故可在referer请求头构造POC:
value type="test" onclick="alert(1)"
扫一扫
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
