安全测试之XSS漏洞利用

上一篇 / 下一篇  2017-10-16 16:55:31 / 个人分类:安全测试

学习安全测试有段时间了,XSS测试的概念看了好几遍也没记住。
burpsuite扫描出了一个反射性XSS漏洞。

/index=011751%3balert(1)%2f%2f184

漏洞在验证过程中,发现没执行alert。联系上下文,发现里面有一个<script>,便重新写了一下参数
index=0</script> ,把之前的script闭合。
加入<script>alert(1);</script> 然后<script>把后面的script闭合,这样 原本一个script就变成了3个。并且每个都能执行,中间的那个就可以放自己的东西了。O(∩_∩)O~,虽然是小小的进步,但是还是很高兴。

其他:
1.在xml功能测试中,<>script保存不会出错,但是保留字<script>却会出错。
2.狡猾的研发好会把前台参数先base64编码,再作ascii编码
3.传系统不认识的参数


TAG: XSS 安全测试

 

评分:0

我来说两句

Open Toolbar