以下是Vega给我的网页的请求:
username=Joey-->">'>'" password=vega login=login
它究竟与Joey-->">'>'"有什么关系。有人可以解释这个POST请求如何确定XSS漏洞吗?
Vega是一个Web漏洞分析工具。 (https://subgraph.com/vega/)
答案 0 :(得分:0)
在不了解该工具本身的情况下,它似乎试图退出或者#34;突破"各种标签和属性:
-->用于结束HTML评论。 "和'用于分隔HTML属性或JavaScript字符串。攻击者可以尝试在此处执行以下操作:
>退出HTML代码。这样做可能会允许他们注入任意<script>标记并执行任意JavaScript。>用于退出HTML标记,之后攻击者可能会尝试使用恶意JavaScript注入任意<script>标记。这些都是非常简单的示例,只是攻击者可能接近的基本概念。