CTFHUB xss 反射型
跨站脚本攻击XSS
XSS允许恶意web用户将代码植入到提供给其它用户使用的页面中。能注入恶意的HTML/JavaScript代码到用户浏览器网址上,从而劫持会话。
类型
- DOM型。属于反射型的一种,利用非法输入来闭合对应的html标签。数据流向是URL→浏览器。
- 存储型。危害大。相关源代码存放于服务器,用户浏览该页面时触发代码执行。
- 反射型。需要攻击者提前构造一个恶意链接来诱使客户点击。
wp
测试
成功弹窗,存在xss
在第二个输入框复制url发送,返回成功,猜测后台进行访问
在XSS测试平台进行测试xsscom.com//index.php?do=login
在我的项目里新建一个
下一步选择默认模块即可
使用
在xss点运行后,复制url发送
然后点击项目内容查看,拿到flag
技能树持续跟新