今天趁着老師接項目,做了一丟丟實踐,以下是一點點感觸。
都知道AWVS是神器,可是到我手里就是不靈。拿了它掃了一個URL,結果提示XSS漏洞,實踐沒反應,只好愉快地享受了過程。來看看。
1.分析Attack details
看第一個xss,多看了好多東西,沒有頭緒,最終鎖定到attack details,立志把他搞懂。
emmmmmmm,百度看了看,意思應該是keywords被放置到隱藏域中易引發xss,實踐可以更明顯地看到。
人家的例子中,是這樣的。
對比着盯了好一陣子,清楚了些,值本身是被放置到【value】,可以通過閉合value來增加東西,人家是這樣干的。
回頭瞅瞅本人發現的,前台根本不顯示【value】值,那還玩毛,,,,,,,,,,如下。
嗯,看另一個xss提示。這個是有【value】,可以構造,開森。
但做了一會兒,發現它會過濾關鍵執行代碼,而我找不到繞過的代碼,氣氣氣。
2.繞過失敗
輸入awvs提供的測試用例,發現被過濾。【
http://iot.10086.cn/question/index/cid/178?keywords=1"onmouseover=PQvt(9093)"】
用了<script>等也被過濾掉了,啊啊啊啊啊啊啊啊。
大哥們有啥學習的方式或者相關知識可以交流一下子哈。