之前我们利用的xss的漏洞都是反射型,即为一次性的漏洞,使用过后,只要刷新页面就会消失不见。
而这里我们将学习一种新的xss漏洞,即为存储型,它对网页造成的破坏是持续性的,可以说危害要比反射型xss大的多。
好,开始这次演示。
首先打开pikachu,找到存储型xss漏洞
可以看到我们使用后留言出现的位置,我们可以通过这个,判断它是否存在xss漏洞。
接着使用代码
<script>alert(document.cookie)</script>
。
写在留言板上,即可获取权限。