如何发现输入字段中的存储型XSS漏洞
通过输入字段发现持久性XSS的逐步指南
为什么存储型XSS很重要
存储型(持久性)XSS发生在用户输入被保存在服务器上,随后在页面渲染时未经过适当编码的情况下。这些存储的内容可以在其他用户的浏览器中运行,导致账户被入侵、会话被盗或执行非预期操作。
查找位置(表单中的常见注入点)
- 评论框和评价区域
- 个人资料字段(简介、显示名称)
- 保存条目的支持/反馈表单
- 论坛帖子
- 任何将输入保存到数据库并在之后显示的地方
演示
最近我在目标网站中发现了存储型XSS漏洞,能够将JavaScript载荷注入到个人资料更新字段中。
- 这是目标网站的仪表板,我们可以看到这里有编辑个人信息的选项
[创建账户以阅读完整故事] [作者仅向Medium会员开放此故事] [如果您是Medium新用户,请创建新账户来阅读此故事]