分类

学习笔记 [17]
渗透测试 [4]
一些杂文 [14]
coding [16]
漏洞信息 [17]
技术文章 [15]
开发文档 [8]
个人作品 [5]
PS:个人作品在各种下载栏目均有下载

站内搜索

日历

«  August 2012  »
Su Mo Tu We Th Fr Sa
   1234
567891011
12131415161718
19202122232425
262728293031

友情链接

  • 莫良博客
  • 冷夜博客
  • 八神博客
  • Tm3yShell7
  • 2idy电影网
  • Blueandhack's Blog
  • 幻泉博客
  • 羽蛇
  • Elaf
  • 小冰's Blog

    • 访问统计(起于2010/10/2)

    访问统计
    PortWatcher's Blog
    Monday, 2025-06-30, 6:42 AM
    Welcome Guest
    Main | Registration | Login | RSS

    Blog

    Main » 2012 » August » 08 » 杭电新生调查表登录处反射型XSS
    12:56 PM
    杭电新生调查表登录处反射型XSS
    By: PortWatcher 

    很无聊的一个漏洞,应该只能配合社工才能发挥作用。一个GET参数没有过滤。我认为这个参数根本就不该暴露给用户,因为没有意义,可能是因为编程简单一些吧。
    这个地方的ERRMSG后面的参数直接放入 alert函数,没有做任何过滤。我们可以通过闭合之前的<script>标签,然后构造自己的<script>标签达到让浏览器运行我们构造的JS脚本的目的。
    这里还是以弹一个框框为例,注意这里的框框不是MSGERR的框框,而是我们自己构造出来的,我们还可以把它修改为任意XSS,自己看代码,不做过多解释。

    例如:



    Category: 漏洞信息 | Views: 1355 | Added by: Jury | Rating: 0.0/0
    Total comments: 0
    Name *:
    Email *:
    Code *:

    admin@portwatcher.net |