存储型XSS漏洞
项目名称:xxx电子合同
测试工具: fiddler
测试步骤:填写后,提交后抓包,修改其中数据为<script>alert(1)</script>,保存到数据库,再次访问时,直接出现弹窗
缺少后台数据较验漏洞
项目名称:xx盾
漏洞工具:手工***
测试步骤:用户列表中存在用户状态,状态有冻结,解冻,注销,注销后的用户不能再使用,且其他状态设置按钮变为不可点击。通过修改前台html代码,将解冻变成可点击,点击解冻,用户状态又恢复正常可用。
原因:缺少在后台对用户状态进行较验
存储型XSS漏洞
项目名称:xxx电子合同
测试工具: fiddler
测试步骤:填写后,提交后抓包,修改其中数据为<script>alert(1)</script>,保存到数据库,再次访问时,直接出现弹窗
缺少后台数据较验漏洞
项目名称:xx盾
漏洞工具:手工***
测试步骤:用户列表中存在用户状态,状态有冻结,解冻,注销,注销后的用户不能再使用,且其他状态设置按钮变为不可点击。通过修改前台html代码,将解冻变成可点击,点击解冻,用户状态又恢复正常可用。
原因:缺少在后台对用户状态进行较验