【14期-1班-小酒】 发现咱们论坛一个反射性XSS。

小酒   ·   发表于 2021-09-03 16:47:22   ·   漏洞文章

刚看2节xss课程。 手痒在论坛,靶场里面找xss。 被我找到了一个。
1,地址:https://bbs.zkaq.cn/?s=search&key=&type=1&pageid=1

论坛的搜索模块
2,代码及分析流程
代码:xss’,1,this), alert(141)//.
分析:F12查看源代码,发现这个位置上面的单引号不会被转义。

js代码:onclick=”return more(‘xss’,1,this);”
return 可以返回2个函数的。我加了一个alert(141).果然成功了

效果图:

用户名金币积分时间理由
Track-手电筒 600.00 0 2021-09-04 14:02:32 发现漏洞奖励

打赏我,让我更有动力~

3 条回复   |  直到 2021-9-18 | 1811 次浏览

caesear
发表于 2021-9-5

<script>alert(‘构造恶意语句,发送给辅导员:老师帮我分析下这个源码’)</script>//我看刑

评论列表

  • 加载数据中...

编写评论内容

17350816400
发表于 2021-9-5

学到了

评论列表

  • 加载数据中...

编写评论内容

hcom
发表于 2021-9-10

原来是你,兄弟,一直在我帖子下面发test…

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.