存储型XSS
在留言内容中,将数组和数据分别进行处理,输入字符时实体化存储到数据库中,查看数据时将数据进行还原处理,当管理员查看留言内容时,触发XSS
cms 审计一下
<img src=x οnerrοr=alert(/xss/)>
当管理员查看数据的时候,跳出
可以配合csrf 获得webshell
这里是file_put_contents()
在留言内容中,将数组和数据分别进行处理,输入字符时实体化存储到数据库中,查看数据时将数据进行还原处理,当管理员查看留言内容时,触发XSS
cms 审计一下
<img src=x οnerrοr=alert(/xss/)>
当管理员查看数据的时候,跳出
可以配合csrf 获得webshell
这里是file_put_contents()