摘要:
一、漏洞描述 获取网站cookie 二、漏洞原理 1、服务器后台写入PHP代码 2、前端写入获取cookie跨站代码 三、环境搭建 接收cookie的服务器 注意,写入cookie.txt的父文件夹一定要有other写入权限。 四、漏洞复现 1、写入获取cookie的js 2、跳转到此界面 3、到服 阅读全文
摘要:
问题 在验证目标系统是含有XSS漏洞,查看源代码,看不到插入的跨站脚本代码。 原理 所谓查看源代码,就是别人服务器发送到浏览器的原封不动的代码。 审查元素时,你看到那些,在源代码中找不到的代码,是在浏览器执行js动态生成的。 通过审查元素看到的就是最终的html代码。即:源代码 + 网页js渲染 。 阅读全文