关于xss:这个不是XSS反射型漏洞吗

44次阅读

共计 370 个字符,预计需要花费 1 分钟才能阅读完成。

背景

有人问了个问题:这个不是 XSS 反射型破绽?为什么?

而后他发了个录屏给我看。

录屏次要内容是上面这样的:

失常在网站搜寻什么,search 接口就会返回搜寻到的数据列表。

比方在网站中搜寻 ”xss”,search 接口就返回几条 xss 相干的数据。

他是这样做的:

他在网站中输出了 ”xss”,而后通过 fiddler 工具,把这个 search 接口的响应内容改了。

比方在其中的一条数据,嵌入了 XSS 攻打代码。

比方上面的代码:

<img src='x' onerror='alert(/ice/);'/>

而后他看到网站弹窗了,就感觉本人胜利的找到了 XSS 破绽,而且是反射型破绽。

我说:其实,这个不是 XSS 反射型破绽。

详情: https://mp.weixin.qq.com/s?__…

有问题可群征询:
https://public-1253796280.cos…

正文完
 0