![](https://img-blog.csdnimg.cn/a44b17fe43054efbad98b69f6c1c5d42.png?x-oss-process=image/resize,m_fixed,h_224,w_224)
web安全
文章平均质量分 79
web安全相关内容
_WHOAM1
这个作者很懒,什么都没留下…
展开
-
Portswigger labs - XSS
将备忘录中的标签复制https://portswigger.net/web-security/cross-site-scripting/cheat-sheet。这里用searchMessage传参,innerHTML的使用导致不能使用script标签,以及svg标签。输入payload ‘-alert(1)-’, -可以替换为+,/,%,*,;搜索框中输入11后,f12查看位置,闭合img标签,插入script代码。可以看出,returnPath传参,进入到a标签的href里面。原创 2023-09-03 21:28:03 · 206 阅读 · 0 评论 -
Portswigger labs - Sql Injection
因为此关延时成功和不延时的场景回显数据包长度都是5335,没办法根据burp去爆破。点击复制到剪贴板:vgfhr4me01jj0mmvfk7ls924bvhn5ft4。选中语句右键扩展hackvertor编码hex-entities。得到密码:nb8n6ob1oodp1rtho04k。'||+pg_sleep(10)-- 延时10秒。admin’+or 1=1–+ 万能密码登录。payload放到下面payload中。提示找到一个字段包含’wBC2wi’经过测试,在2的位置放置字符串。原创 2023-09-01 21:45:11 · 74 阅读 · 0 评论