存储型XSS

DVWA系列(二)存储型XSS
https://www.imooc.com/article/284686
网络安全:存储型XSS
https://blog.csdn.net/qq_41500251/article/details/100587668

一、原理

将用户输入的数据存储入服务器,在下次访问时便会触发,形成攻击。

二、存储型XSS特点

注入的恶意代码在数据库(服务器)中,

app://local/E%3A%5Cobsidian%5C%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%5C%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%5C%E9%9F%B3%E8%A7%86%E9%A2%91%E6%96%87%E4%BB%B6%5CPasted%20image%2020201218110020.png?1609079541795

三、挖掘思路

1、一般出现的地方
评论区,留言板,收货地址,个人信息等需要用户输入且保存在数据库的地方
2、判断是否是xss漏洞
输入'<>?"/6666,观察是否存储进数据库,观察有无过滤
3、根据2的情况,设计payload

posted @ 2020-12-27 22:33  GorillaLee  阅读(1448)  评论(0编辑  收藏  举报