【技术交流】xsslabphpbb

TI用户67133115jccm 2022-02-24 00:46:03 3662人浏览
  1. 基于xsslabphpbb的xss实验

用账号/口令:admin/admin登录phpBB实验环境:

  • 进入论坛后,编写第一个测试贴,内容为:

<script>alert(‘XSS’);</script>

效果如图,说明该论坛含有xss漏洞:

  • 接着编写下一个帖子,内容为:

<script>alert(document.cookie);</script>

实验结果如下:

值得注意的是这里我是先编写了xss利用代码,再写了一段正常的文字,展现出来的情况也是先弹出含有当前用户cookie的弹窗,之后显示正常的文字内容。

如果把正常文字和xss利用代码交换顺序,则会有不一样的效果:

这里是先显示正常文字,后显示cookie弹窗。从这一点细节也可以认识到,xss的本质就是一种html注入,由于对输入内容缺乏检测,帖子里精心构造的恶意命令被浏览器无差别地当作是网页的一部分执行了。

    0条评论
    1
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。