本blog的重要声明:
1、本blog所有言论与观点都是个人观点,与所在公司无关,不代表所在公司的态度。
2、本blog所有相关内容都是基于技术探讨,请不要用于恶意攻击。
3、本blog所有【未公开漏洞细节】的检测站点都会做隐藏处理。
4、转载本blog的任何文章请注明作者【Mars马尔斯】
5、以上声明将会出现在所有需要提示的文章中。
-----------------------------------------------------------------------------------------------------------------------
用Blog来写东西实在是一种折磨
对于强迫症患者来说调格式绝对是最讨厌的
没有之一...
-----------------------------------------------------------------------------------------------------------------------
我一直抱着实际操作比理论来的更快更直接。
当然当你对XSS有一个比较简单的认识之后,还是要有一个比较完整的理论体系。
这次直接写一个简单的XSS实践,检测的网站是某网上教育网站。
本漏洞【原型】来自乌云,厂商修补漏洞后,经过一个小小修改又可以了~
因为保护网站的关系,不能给出乌云链接和作者名称了,请原作者谅解。
这一篇之后再说明文中涉及到的一些知识。
看本文之前应该有些基础,不废话了,开始!
进入网站,注册账号,进入学习中心,选择【作业上传】
界面里问你学到了什么知识,当然是XSS的知识了,写入XSS测试代码,补充完100字~上传作业
很开心的看到提示“您的提交带有不合法参数,谢谢合作”
说明我们的测试代码给过滤掉了,难道这样就没了嘛要放弃了嘛?
当然不!这个提示也说明这里是个很大的突破口!
我们对测试代码进行简单的转码,转码之后再次提交!
这一次成功的上传作业了,因为绕过过滤了撒
网站还贴心的为我们含有XSS测试代码的作业分配了网址
复制网址,在另一台电脑上打开作业(不需要登录),ok,弹出提示框了。
回到【作业上传】页面,删除本作业,毁尸灭迹。
106
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
