当前位置: 首页 > article >正文

【网络安全】将两个 Self-XSS 转变为可利用的 XSS

article 2024/10/12 6:49:49

未经许可,不得转载。

文章目录

    • Self-XSS-1
    • Self-XSS-2

Self-XSS-1

目标应用程序为某在线商店,在其注册页面的First Name字段中注入XSS Payload:

img

注册成功,但当我尝试登录我的帐户时,我得到了403 Forbidden,即无法登录我的帐户。

我很好奇为什么我无法登录我的帐户,所以我打开了 Burp 并拦截了登录请求,以查看为什么会收到403 Forbidden。我发现浏览器向服务器发送了两个请求。

第一个请求中包含我的用户名和密码:

POST /login HTTP/2
Host:www.example.com

loginID=attacker@gmail.com&password=xxx123

其返回包为200 OK,返回体中包含我的个人信息,如FirstNamelastNameUID等等。

第二


http://www.kler.cn/news/343746.html

相关文章:

  • 如何用ChatGPT 8小时写出一篇完整论文(附完整提示词)
  • Chrome清除nslookup解析记录 - 强制http访问 - 如何禁止chrome 强制跳转https
  • 计算机挑战赛2
  • 【java】windows系统-让tomcat开机自启、后台启动
  • Nginx的正向与反向代理
  • linux与window中的脚本编写技巧
  • 尚游深圳 客户端开发笔试题 2024
  • Flutter多语言适配
  • mongodb GUI工具(NoSQLBooster)
  • [Notes] 3DGS Features Summary
  • 基于机器视觉的水果品质检测研究进展
  • 3_路由器分组交换知多少?20241009
  • 吴恩达深度学习笔记(一)-基础知识
  • Qt 数据库,人脸识别
  • Go-知识依赖GOPATH
  • 经纪人项目开发及知识点总结
  • 线性回归损失函数的推导
  • JVM 方法区
  • 详细版的Jsoncpp的使用,包括在VS环境下配置
  • 理解计算机系统_程序的机器级表示(特别篇):对比move和leaq看汇编语言中数据的传递,变量和指针的映射,指针的实现