标签：XSS HTML 单击 URL href 评论 Burp Suite

靶场内容：

该实验室在评论功能中包含一个存储的跨站点脚本漏洞。要解决此实验，请提交一条评论，alert该评论会在单击评论作者姓名时调用该函数。

漏洞解析

• 在“网站”输入中发表带有随机字母数字字符串的评论，然后使用 Burp Suite 拦截请求并将其发送到 Burp Repeater。
• 在浏览器中发出第二个请求查看帖子并使用 Burp Suite 拦截请求并将其发送到 Burp Repeater。
• 观察到第二个中继器选项卡中的随机字符串已反映在锚href属性中。
• 再次重复该过程，但这次将您的输入替换为以下有效负载以注入一个调用警报的 JavaScript URL： javascript:alert(1)
• 通过右键单击、选择“复制 URL”并将 URL 粘贴到浏览器中来验证该技术是否有效。单击评论上方的名称应该会触发警报。

标签：XSS,HTML,单击,URL,href,评论,Burp,Suite
来源： https://www.cnblogs.com/Zeker62/p/15183796.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。