基础漏洞
文章平均质量分 74
小杨想睡觉.
这个作者很懒,什么都没留下…
展开
-
dvwa 中 sql xss 漏洞
SQL Injectionmedium先观察页面,可以看到url中没有注入点,应该是post注入使用burpsuite抓包,并将此报文send to repeater第一次把id=1改为Id=1’第二次改为id=1’’send之后看response,从结果可见,这里输入是数值,不需要闭合,并且单引号应该是会被转义的确定列数id=1 order by 3 报错,列数为2列爆库id =1 union select 1,database得到库名dvwa爆表id=1 union se原创 2022-01-25 21:24:07 · 3170 阅读 · 0 评论 -
xss1-20通关
level 1观察三处箭头,发现是向服务器提交了一个name 参数,值为"test",从页面回显看,将name参数的值显示在了页面上,并且显示了name参数值的字符长度查看其源码将name 参数重新赋值为 <script>alert('xss')</script>...原创 2022-01-24 20:24:15 · 1078 阅读 · 0 评论 -
dvwaXSS漏洞通关
XSS漏洞(low级别)原创 2021-12-24 16:39:13 · 1746 阅读 · 0 评论 -
XSS漏洞
一. XSS漏洞简介XSS(即跨站脚本攻击)是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的输出函数。二. XSS分类反射性XSS:<非持久化> 攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页原创 2021-12-24 15:54:31 · 1362 阅读 · 0 评论