注册    登录
今天看啥  ›  专栏  ›  Ms08067安全实验室

代码审计XSS 0day

Ms08067安全实验室  · 公众号  ·  · 2021-02-09 22:55
喜欢就关注我吧,订阅更多最新消息出品|MS08067实验室(www.ms08067.com)本文作者:cong9184(Ms08067实验室核心成员)个人技术能力问题,先从xss挖!步骤一:使用rips进行自动化审计感觉这个好搞步骤二:使用vscode看Rips提示57行有洞复制出来看:echo 'div id="douFrame">div class="bg" onclick="douRemove('."'douFrame'".')">div>div class="frame details">h2>a href="javascript:void(0)" class="close" onclick="douRemove('."'douFrame'".')">Xa>'.$_POST['name'].'h2>div class="content">iframe frameborder="0" hspace="0" src="'.$_POST['frame'].'" width="100%" height="600">' . $_LANG['cloud_frame_cue'] . 'iframe>div>div>div>';复制出来之后可以看到是一个php的输出语句echo其中关注点是$_POST['name']这个是可以传参的地方,看看前方和后方,可以确定这里存在xss,直接输入alert(1) ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
推荐文章
湖南日报  ·  沈晓明主持召开省委常委会会议
3 天前
湖南日报  ·  看湖南丨扎根深海,“不倒翁”乘风破浪
3 天前
新闻株洲  ·  腾势2024款D9将亮相直播株洲汽车嘉年华
4 天前
新闻株洲  ·  株洲市招聘2024届高校优秀毕业生最新公告
5 天前
新闻株洲  ·  省纪委监委最新通报
5 天前
定州论坛  ·  南城区迎来“开门红”!定州各乡镇最新排名结果出炉,看看你家排第几
1 年前
贝莱德BlackRock  ·  市场回暖你需要了解的8个问题
1 年前
铅笔经济学  ·  李子旸:什么人能做情报工作?
2 年前
AI科技评论  ·  动态 | DeepMind 首次披露旗下专利申请情况
5 年前
古文观止  ·  “五谷不分”是哪五谷?“七情六欲”又是哪七情哪六欲?
6 年前
关于   移动版   ·   Py中国   ·   RSS之家   ·   codingpro   ·   Code   ·   link之家   ·   卧龙AI搜索   ·   藏经阁   ·   小百科
今天看啥 - 微信公众号rss订阅, 微信rss, 稳定的RSS源
© 2024 ~ 沪ICP备11025650号