网安教育
培养网络安全人才
技术交流、学习咨询
本次实验用到phpstudy
订单靶场网站使用:军锋预定系统
1.搭建订单系统
2.打开购买页面
3.尝试提交
4.页面回显错误
5.重新尝试
6.查看回显
7.查看后台
说明需要盲打操作
8.利用xss平台代码检测
9.在具体要求的地方进行恶意参数输入
10.查看后台,发现我们的代码被解析了,默认以为在这里是没有要求,而且解析为js代码执行。
11.查看是否得到了了cookie
发现这里我们得到了cookie,那么进行下一步渗透
12.打开burp
13.新增cookie
添加cookie
14.抓包
15.主要看这里,存在cookie包 ,那我们释放包看看
16.释放包
登录成功
企鹅有必要呼吁各位技术友,不可以用技术做一些违法操作
版权声明:本文为CSDN博主「跳楼梯企鹅」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_50481708/article/details/126744544
版权声明:著作权归作者所有。如有侵权请联系删除
战疫期间,开源聚合网络安全基础班、实战班线上全面开启,学网络安全技术、升职加薪……有兴趣的可以加入开源聚合网安大家庭,一起学习、一起成长,考证书求职加分、升级加薪,有兴趣的可以咨询客服小姐姐哦!
加QQ(1005989737)找小姐姐私聊哦
原文始发于微信公众号(开源聚合网络空间安全研究院):利用盲打进行一次“别开生面”的XSS订单系统漏洞测试
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论