摘要:
靶场内容 该实验室在评论功能中包含一个存储的跨站点脚本漏洞。 要解决此实验,请提交在alert查看博客文章时调用该函数的评论。 漏洞解析 在评论框中输入以下内容: <script>alert(1)</script> 就是一个存储型XSS,通过评论区存储到服务器 阅读全文
摘要:
靶场内容 本实验包含博客评论功能中的存储型 XSS漏洞。为解决实验室问题,利用该漏洞进行CSRF攻击,更改查看博文评论的人的邮箱。 您可以使用以下凭据登录自己的帐户: wiener:peter 漏洞解析 这个漏洞告诉我们,可以利用CSRF令牌执行XSS漏洞 所以我们要做的就是提取CSRF令牌: 使用 阅读全文