【14期-1班-小酒】 发现咱们论坛一个反射性XSS。
刚看2节xss课程。 手痒在论坛,靶场里面找xss。 被我找到了一个。
1,地址:https://bbs.zkaq.cn/?s=search&key=&type=1&pageid=1
论坛的搜索模块
2,代码及分析流程
代码:xss’,1,this), alert(141)//.
分析:F12查看源代码,发现这个位置上面的单引号不会被转义。
js代码:onclick=”return more(‘xss’,1,this);”
return 可以返回2个函数的。我加了一个alert(141).果然成功了
效果图:
| 用户名 | 金币 | 积分 | 时间 | 理由 |
|---|---|---|---|---|
| Track-手电筒 | 600.00 | 0 | 2021-09-04 14:02:32 | 发现漏洞奖励 |
打赏我,让我更有动力~
登录后才可发表内容
返回:技术文章投稿区
漏洞文章
caesear
发表于 2021-9-5
<script>alert(‘构造恶意语句,发送给辅导员:老师帮我分析下这个源码’)</script>//我看刑
评论列表
加载数据中...
17350816400
发表于 2021-9-5
学到了
评论列表
加载数据中...
hcom
发表于 2021-9-10
原来是你,兄弟,一直在我帖子下面发test…
评论列表
加载数据中...