当前位置: 首页 > ai >正文

渗透实战PortSwigger靶场:lab13存储型DOM XSS详解

ai 2025/6/29 11:04:56

进来是需要留言的,先用做简单的 html 标签测试

发现面的</h1>不见了

数据包中找到了一个loadCommentsWithVulnerableEscapeHtml.js

他是把用户输入的<>进行 html 编码,输入的<>当成字符串处理回显到页面中,看来只是把用户输入的第一个<>进行了编码

构造<><img src=1 onerror=alert(1)>
在这里插入图片描述

也可以<h1><h1 onmouseover=alert(111)>hello</h1>

后续敬请关注

echo "5pu05aSa6KeG6aKR6K+35YiwQuermeaQnOe0ouWFs+azqFBlblRlc3Qzcl9aZXJsa++8jOaEn+iw
ouaCqOeahOaUr+aMge+8gQo="|base64 -d
http://www.xdnf.cn/news/11896.html

相关文章:

  • 期末复习(学习)之机器学习入门基础
  • SPI通信协议(软件SPI读取W25Q64)
  • 本地部署网站流量分析工具 Matomo 并实现外部访问
  • 机器学习实战37-基于情感字典和机器学习的股市舆情分析可视化系统
  • Python-面向对象
  • 敏捷开发中如何避免过度加班
  • 银河麒麟V10ServerSP3中快速安装Minio及注册自启服务
  • 中小制造企业转型:低成本国产工业软件替代方案实践
  • 国标GB28181视频平台EasyGBS视频实时监控系统打造换热站全景可视化管理方案
  • 04.两数之和
  • 基于STM32F407的情绪感知智能助眠系统
  • 8天Python从入门到精通【itheima】-68(元组)
  • 数据“出国”需办“签证”: 如何申请数据出境安全评估?
  • 《校园生活平台从 0 到 1 的搭建》第一篇:创建项目与构建目录结构
  • 数据库表中「不是 null」的含义
  • Cursor 工具项目构建指南: Python 3.8 环境下的 Prompt Rules 约束
  • 项目实战——C语言扫雷游戏
  • 【Spark征服之路-2.1-安装部署Spark(一)】
  • 【Windows开发】Windows 事件跟踪 (ETW)
  • 【conda配置深度学习环境】
  • 机器学习的数学基础:线性模型
  • HDFS分布式存储 zookeeper
  • 【Spec2MP:项目管理之项目成本管理】
  • 字节开源FlowGram:AI时代可视化工作流新利器
  • Promtail采集服务器本地日志存储到Loki
  • 《最长单调子序列》题集
  • 细说C语言将格式化输出到FILE *stream流的函数fprintf、_fprintf_I、fwprintf、_fwprintf_I
  • 轴承排列自动运行 定时器 外中断 PWM部分程序
  • 使用 systemctl 实现程序自启动与自动重启
  • RAG技术解析:实现高精度大语言模型知识增强