这几天刚把关于XSS的网课搞定,然而本帅已经不满足于在本地环境下测试。想到因为学网课把英语老师在iwrite系统上布置的好几篇作文落下,登入iwrite发现前面好多作业已经过期了,此时本帅的内心是哇凉哇凉的,万一就因为这不起眼的平时分导致挂科那是多不划算啊!
于是乎,本帅有了个邪恶的想法——在标题区,写作区测试下是否存在XSS,有的话,完全可以利用XSS盲打老师后台cookie,得到cookie后,嘿嘿嘿..........
说明下为什么会先测试标题区和写作区,因为这里是写英语作文的啊!同志们,英文啊 。。。 开发者十有八九不会过滤 "<" ">"这种符号啦,script , alert 这种单词我更不信他会过滤。so,先尝试下简单的payload
弹窗了!它居然弹窗了!哇哇哇,不会吧,一不小心就找到个存储型xss
F12 调出firebug,确定触发xss的位置
再查看下cookie,傻眼了,设置了http only,这就意味着无法通过JS读取老师的cookie