读者可参考、订阅专栏:Xss-Labs靶场攻防实战
姿势
逻辑后端代码:
str33为注入点,而str33由str11经过滤得到,str11为user agent
故以user agent为攻击点构造POC:
value type="test" onclick=alert(1)
读者可参考、订阅专栏:Xss-Labs靶场攻防实战
逻辑后端代码:
str33为注入点,而str33由str11经过滤得到,str11为user agent
故以user agent为攻击点构造POC:
value type="test" onclick=alert(1)