[TOC]
参考文章:XSS(跨站脚本攻击)详解
原理
非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。反射型XSS大多数是用来盗取用户的Cookie信息
经过后端
分析
Low
先看代码,进行审计,找出可反射原因
可以看到,这里没有进行过滤,直接进行了输出,导致可以反射型XSS
Medium
老样子,先看代码,进行审计,找出可反射原因
可以看到这里用正则将
参考文章:XSS(跨站脚本攻击)详解
非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。反射型XSS大多数是用来盗取用户的Cookie信息
经过后端
先看代码,进行审计,找出可反射原因
可以看到,这里没有进行过滤,直接进行了输出,导致可以反射型XSS
老样子,先看代码,进行审计,找出可反射原因
可以看到这里用正则将
让时间为你证明