Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

第四篇翻译:XSS漏洞

0
0
现在开始…. 首先,我检查了可用的子域名,但是最开始我并没有发现什么有趣的东西。直到当我开始测试ucweb.com的子域名时,我发现了这个子域 samsung.ucweb.com ,samsung 三星?似乎有点意思,所以我尝试用浏览器去访问它
第四篇翻译:XSS漏洞
很不幸,这是一个403 禁用的网站,如果是你碰见了下一步会怎么做?很显然,大多数人都会忽略它,然后测试其它子域。不过我曾读过一篇文章,它说如果你遇到这样的网站,尝试用Google 搜索一下相关站点信息,或许会有惊喜发现 所以我是用谷歌语法简单的看了一下,site:samsung.ucweb.com结果真的有惊喜
第四篇翻译:XSS漏洞
我打开了这个URL: http://samsung.ucweb.com/webstore/classify.html?dataKey=LifeStyle&title=LifeStyle 并开始测试相关参数,当我测试title参数时,发现服务端并没有过滤title参数的值就将其打印出来了
第四篇翻译:XSS漏洞
所以我尝试构造payload来利用这个漏洞点,当我使用”> < script>alert(1)</ script>时并没有任何弹窗,所以我尝试用 < img>标签 "><img src=x onerror=alert(‘XSS’)>
第四篇翻译:XSS漏洞
视屏演示

Viewing all articles
Browse latest Browse all 12749

Latest Images

Trending Articles





Latest Images