1. UU电玩城首页
  2. > 编程日记

白捡一个存储型XSS

zkzq 1年前 编程日记 阅读(6) 违法举报

请添加图片描述
本文由掌控安全学院 - 杳若 投稿

起因

利用fofa搜索时发现

  1. org="China Education and Research Network Center" && body="/register"在这里插入图片描述

任意用户注册

在找到该CMS的时候发现存在任意用户注册的情况

http://xxxx.edu.cn/student/Register.ashx

内容都可以伪造
在这里插入图片描述
注册后得到账号 xxxxxx 密码 xxxx

后端姓名处存储XSS/前端限制绕过

在个人姓名处发现姓名存在的是前端限制,进行后端抓包突破
在这里插入图片描述

  1. <img src=x onerror=alert(1) //

来到分享界面获取我个人的url 触发XSS在这里插入图片描述

请添加图片描述
请添加图片描述文章来源地址https://uudwc.com/A/4r1AB

原文地址:https://blog.csdn.net/hackzkaq/article/details/133129862

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请联系站长进行投诉反馈,一经查实,立即删除!

h
上一篇 2023年09月25日 06:57
前后端分离--Vue的入门基础版
下一篇 2023年09月25日 07:04