一种很鸡肋的XSS,我喜欢叫它【No refresh Xss】
Finger (Save water. Shower with your girlfriend.) | 2014-02-19 12:48
可能有的小伙伴们遇到过这样一种xss
比如留言版,我们在插入xss测试代码提交的时候(比如简单的<script>alert(1)</script>),在点击提 交后并且未进行页面刷新前会造成XSS效果,而当我们刷新页面之后却发现我们提交的内容被过滤了,很鸡肋的说,审核时看到过好多这样的案例(由于实际效果 简直比反射型Xss还鸡肋,并且至今未见到好的利用案例,所以都是不通过的)。
这是一种由于Ajax无刷新效果未过滤造成的Xss,我喜欢叫它【No refresh Xss】,可能叫它No refresh Xss不准确,但我确实不知道它的学名应该叫什么,所以发帖想看看小伙伴们有没有对此有研究的。
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论