扫码领资料
获网安教程
免费&进群
掌控安全-alan00
我们的学员第一次发表的文章,如果发现有待改良的地方,请多多指教
1.在这个商城里注册一个用户,然后点击个人中心那里
2.在收货地址那里,写几个方便后面查看代码的时候容易搜到的标记,我就写了8888
3.之后查案网页代码,按ctrl+f搜索刚刚做好的标记8888,发现这里好像的引号可以注释掉,用事件形进行触发
4.然后就在刚刚做的标记地方,详细地址那里输入 “ oninput=alert(1) // ,点击修改收货地址
5.发现详细地址那里已经空了,说明代码已经生效,再次点击详细地址的框,成功弹窗
如果有发现不足的地方,还请多多指教
谢谢各位
原文始发于微信公众号(掌控安全EDU):新手是如何发现一个某商城的存储性xss
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论