我测试了网站的漏洞(文件夹/服务联系),并且出现了可能的XSS DOM问题(使用Kali Linux,Vega和XSSER)。但是,我试图用“警报”手动测试网址。脚本,以确保它易受攻击。我用了
www.babyland.nl/service-contact/alert("test") 没有显示警告框/弹出窗口,只有html代码显示在联系表单框中。
我不确定我使用了正确的代码(我是新手)还是做了正确的解释。服务器是Apache,使用javascript / js。
你能帮忙吗?谢谢!
答案 0 :(得分:1)
这对XSS来说并不容易,无论你在URL中写什么,都来自Form Form(Vraag / opmerking)。双引号(“)是Escaped。如果你尝试另一个Payload,如<script>alert(/xss/)</script>那也不会起作用,因为这不反映任何存储。你会看到输出为Vraag / opmerking中的文本.Don' t依靠在线扫描仪,手动测试,基于DOM的XSS ..检查接收器和源并分析它们。
答案 1 :(得分:0)
该工具是对的。网站上存在XSS漏洞,但概念验证(PoC)代码错误。 &lt; textarea&gt;的内容。只能包含character data(请参阅<textarea> description on MDN)。因此,<script>alert("test")</script>被解释为文本,而不是HTML代码。但你可以关闭&lt; textarea&gt;之后标记并插入javascript代码。
以下是有效的PoC网址:
https://www.babyland.nl/service-contact/</textarea><script>alert("test")</script>
呈现为:
<textarea rows="" cols="" id="comment" name="comment"></textarea<script>alert("test")</script></textarea>
测试XSS注射的一点注意事项:Chrome / Chromium具有XSS保护功能。所以这段代码在这个浏览器中没有被利用。对于手动测试,您可以使用Firefox或运行Chrome:--disable-web-security(see this StackOverflow Question和this以获取更多信息)。