漏洞赏金 XSS 漏洞网站负载

Posted

技术标签:

【中文标题】漏洞赏金 XSS 漏洞网站负载【英文标题】:Bug bounty XSS vulnerability website payload 【发布时间】:2022-01-12 11:50:05 【问题描述】:

我最近开始自学 XSS 漏洞并偶然发现这个网站进行练习。

https://sudo.co.il/xss/level2.php

但经过多次尝试输入多个有效载荷

Example: <script>alert('XSS')</script>

我无法让 XSS 工作。

【问题讨论】:

您是否查看过尝试此输入字符串时返回的页面源代码?如果有的话,很明显服务器正在通过将每个输出中的 &amp;lt;&amp;gt; 过滤为它们各自关联的 html 实体值(&amp;lt;&amp;gt;)来清理输入。 【参考方案1】:

值反映在输入值属性中。您可以通过以" 开头,然后添加其他属性来避免这种情况。例如:" onmouseover="alert('XSS')"

要减少用户交互,您可以更改样式:" onmouseover="alert('XSS')" style="width: 1000px; height: 1000px" 或者可以使用更好的属性。

【讨论】:

以上是关于漏洞赏金 XSS 漏洞网站负载的主要内容,如果未能解决你的问题,请参考以下文章

宝塔漏洞 XSS窃取宝塔面板管理员漏洞 高危

XSS网站漏洞如何修复 大牛支招让您网站更安全

挖洞经验 | 热门航空网站上的SQLi和XSS漏洞

通过代码审计找出网站中的XSS漏洞实战

网站发现跨站脚本漏洞(XSS)怎么修复啊?高手来...

CSRF漏洞学习