漏洞赏金 XSS 漏洞网站负载

【问题标题】:Bug bounty XSS vulnerability website payload漏洞赏金 XSS 漏洞网站负载
【发布时间】:2022-01-12 11:50:05
【问题描述】:

我最近开始自学 XSS 漏洞并偶然发现这个网站进行练习。

https://sudo.co.il/xss/level2.php

但经过多次尝试输入多个有效载荷

Example: <script>alert('XSS')</script>

我无法让 XSS 工作。

【问题讨论】:

  • 您是否查看过尝试此输入字符串时返回的页面源代码?如果有的话,很明显服务器正在通过将每个输出中的 &amp;lt;&amp;gt; 过滤为它们各自关联的 HTML 实体值(&amp;lt;&amp;gt;)来清理输入。

标签: security xss payload


【解决方案1】:

值反映在输入值属性中。您可以通过以" 开头,然后添加其他属性来避免这种情况。例如:" onmouseover="alert('XSS')"

要减少用户交互,您可以更改样式:" onmouseover="alert('XSS')" style="width: 1000px; height: 1000px" 或者可以使用更好的属性。

【讨论】:

    猜你喜欢
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript C# Mysql Docker 算法 前端 SpringBoot Redis Vue spring .net 设计模式 .net core c++ kubernetes 数据库 机器学习 大数据 数据结构 微服务 js 人工智能 Go Android 面试 程序员 JVM 云原生 后端 ASP.net core 深度学习 CSS k8s git golang PHP devops Nginx Django React mybatis 架构 多线程 Spring Boot 云计算 LeetCode 分布式