安全测试之XSS漏洞利用
上一篇 /
下一篇 2017-10-16 16:55:31
/ 个人分类:安全测试
学习
安全测试有段时间了,
XSS测试的概念看了好几遍也没记住。
burpsuite扫描出了一个反射性XSS漏洞。
/index=011751%3balert(1)%2f%2f184
此
漏洞在验证过程中,发现没执行alert。联系上下文,发现里面有一个<script>,便重新写了一下参数
index=0</script> ,把之前的script闭合。
加入<script>alert(1);</script> 然后<script>把后面的script闭合,这样 原本一个script就变成了3个。并且每个都能执行,中间的那个就可以放自己的东西了。O(∩_∩)O~,虽然是小小的进步,但是还是很高兴。
其他:
1.在xml功能测试中,<>script保存不会出错,但是保留字<script>却会出错。
2.狡猾的研发好会把前台参数先base64编码,再作ascii编码
3.传系统不认识的参数
相关阅读:
- XSS攻击简单介绍 (资深梦游, 2017-7-25)
- XSStrike:基于Python的XSS测试工具 (资深梦游, 2017-7-31)
- XSS实战:我是如何拿下你的百度账号 (资深梦游, 2017-8-28)
- Web应用服务器安全:攻击、防护与检测 (资深梦游, 2017-8-31)
- XSS 和 CSRF 两种跨站攻击 (资深梦游, 2017-9-06)
- xss漏洞攻击与防御 (资深梦游, 2017-9-08)
- xss攻击执行原理小结 (资深梦游, 2017-9-14)
- XSS攻击进阶篇——那些年我们看不懂的XSS (资深梦游, 2017-9-18)
- UEditor储存型xss漏洞 (资深梦游, 2017-9-22)
- App测试流程及测试点(个人整理版) (资深梦游, 2017-9-26)
收藏
举报
TAG:
XSS
安全测试