跨站脚本攻击
关注
分享
扫一扫
csu_vc
天行健,君子以自强不息
展开
-
JavaScript绕过简单原理(1)
利用Burp suite来拦截POST请求,通过修改HTTP请求来绕过前端的JavaScript验证,并成功地向服务器提交了敏感数据来造成XSS跨站漏洞。JavaScript属于前端验证,在浏览器未提交数据时进行验证,而我们是在通过验证之后还未发出,才拦截的HTTP请求,然后修改数据,使得JavaScript的验证不起作用,由此可以看到通过前端来验证是不可靠的。提示,一定要谨记,前端JavaScri原创 2017-07-15 12:53:20 · 1584 阅读 · 0 评论 -
DVWA-学习XSS
Low级别代码 无任何过滤和检查,只判断是否存在(array_key_exists)以及是否为空Medium级别代码 与Low相比增加了str_replace,基于黑名单的思想,利用str_replace把输入中的<script>删除,但是,这种防护机制太弱,一下子就可以绕过,比如 1、双写绕过<sc<script>ript>alert(/xss/)</script>2、大小写混gh级别代码依原创 2017-08-08 09:38:33 · 423 阅读 · 0 评论