您好我正在通过向输入添加一些脚本标记来检查我的公司网站XSS漏洞。实际上我的公司网站很脆弱。
<script>alert("Xss Attack");</script>
此提醒
Xss Attack
现在我正在尝试进行更多测试以更多地了解它,现在我正在尝试获取会话ID并将其传递到其他网站,然后我将获得会话ID,我将获得用户访问权限session_id。这是获取session_id的代码,我将其输入到输入字段并提交表单。
<script>var sess_id = "<?php echo session_id(); ?>"; alert(sess_id); </script>;
但这只是警告<?php echo session_id(); ?>
在我的php中我将变量设为
<td> <?php echo $name;?> </td>
BUT
在我的PHP页面中,如果我直接输入代码
<script>var sess_id = "<?php echo session_id(); ?>"; alert(sess_id); </script>
它正确地为我提供了会话ID ba6k806tlcbvqs0l39ipcms956
我认为在我的第二种情况下它可以正常工作,因为它没有包装PHP标记。
在第一种情况下,它包含了PHP标记<?echo $name;?>。
那么我应该如何将session_id添加到javascript变量sess_id? , 请帮忙 。提前谢谢:)