我有一个Web应用程序,其中有几个XSS漏洞,在配置文件页面上,例如,有一个文本框易受XSS和消息页面的攻击。它们都有文本框但是当我在配置文件页面中添加一些XSS时,弹出窗口中也出现了弹出窗口,我无法找出原因。我附上了一些截图以获取更多信息。如果有人能解释为什么这样做,我将非常感激。
以下链接用于应用程序的视觉效果
这些是源代码图像/文件 个人资料页面源代码:
https://drive.google.com/file/d/1fA_Zoa7z4fdhBBzW2-e3Wm-fWF1qwXw7/view?usp=sharing
消息页码:
https://drive.google.com/file/d/1YApsri_3YSmUwlRfyajcebgpe26L37TZ/view?usp=sharing
答案 0 :(得分:0)
您正在将此文本框中保存的数据插入messages.php
页面。如果右键单击并检查“testtest”文本,您会发现其中还添加了一个脚本(您之前添加的脚本)。通过保存此服务器端,它允许每次客户端加载页面时运行它,因为浏览器仍然将其作为要运行的代码读取。它不应该 - 它应该将其视为文本。
您会注意到背景“test”中的第一个单词被写入,并且脚本已经出现。这是一个阻塞脚本,这意味着在您单击对话框中的“确定”按钮之前不会再运行任何代码,从而允许代码继续呈现页面上的其余内容;因此,为什么第二个“测试”单词会等到你在渲染页面的其余部分之前单击“确定”。
如果我错过了什么,请告诉我。希望这有帮助