存储型XSS正如其名,是存储在服务器上,只要用户一访问到相应的页面就会被执行恶意代码,其危害比反射型的大得多。
Low级:
在输入正常的内容之后,所输入的内容会保存在该页面,那么先来测试是否存在XSS漏洞,分别对Name和Message两个选项进行测试、用Burpsuite抓包查看。
一开始在Name中输入发现有字符限制,其中涉及到对输入数据长度最大的限制,即maxlength=xx。由于其只是建立在前端浏览器的检测而已,所以可以通过客户端的开发者工具(按F12)或者通过burpsuite将maxlength的值改大或者直接删去便可。