Part1前言客服聊天处啥存储xss、根据uid越权、抓取一个接口返回所有的聊天内容、前端代码中或返回包中获取到啥参数然后越权这些都给别人写得烂大街了,再分享就没有意义了,这边分享的都是骚案例,下面两...
凭借一手Apple 存储XSS赚取5000美元的故事
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。博客新域名:https://gugesay...
往年公开:实战SRC挖掘 X讯xss漏洞第二篇(存储xss)
分享个挖掘X讯src的一个案例,细心决定一切#可造成xss代码的存储执行,对用户数据安全造成损失上传视频处,标题可以插入xss,然后在搜索界面搜索我刚插入的xss关键词即可触发这里被过滤了很多代码,那...
一次非常规功能点的存储XSS
一般XSS点是在留言、新增项等等地方,一般也都需要登录本文记录的试一次渗透中碰到的非常规的XSS功能点,无需登录所以也可以说是未授权XSS,并且直取admin漏洞功能点位于【系统日志】处此处记录并审计...
某211大学src挖掘
信息收集 这次信息收集比较玄学,起初就是用谷歌语法搜了一下带注册功能的点 site:edu.cn 注册 账号 然后就找到了本次目标站的注册点: 这边的学号啥的我都是不知道的而且这边最后显示的不是注册,...