XSS盲打测试(pikachu)

XSS盲打

1.在提交框随意输入一段内容,可以发现并没有在前端进行输出,我们根据提示(pikachu平台每关所给的提示真的超级重要的)登陆一下pikachu的后台。

 

 

 

 2.输入一段js代码看一下后台的情况。我们输入的js代码已经被后台成功执行了。盲打和存储型有些相似危害还是很大的,如果后台执行过滤不严的话还是很容易被一些不怀好意的人钻空子的,之所以说是盲打是因为我们并不知道后端是什么样子的,只能尝试,万一成功了呢?

 

posted @ 2020-04-04 21:54  喝阔乐嘛  阅读(957)  评论(0编辑  收藏  举报