本文详细讲解了Web安全中的存储型XSS测试,包括环境搭建、定向挖掘、黑名单审计及绕过方法。接着介绍了CSRF的原理、与XSS的区别、漏洞利用及防御措施。最后,深入探讨了文件上传漏洞,涵盖了绕过JS、MIME-Type、黑名单等各种验证的技巧和案例。
一、存储型XSS测试
1.1 环境搭建:
1.下载ROCBOSS:https://www.rocboss.com/
2.按照文档进行安装
提示:
- 如果开启了服务器、网址输入127.0.0.1/pconline 出现以下报错,打开 PHPstudy --> 其他选项菜单
–> 软件设置 --> 允许目录列表
1.2 定向挖掘XSS漏洞
XSS漏洞可以存在于个人资料出,文章发表处或者留言评论处
1.3 黑名单审计
私信位置没有被实体化,可以进行XSS,但是被黑名单过滤
查看system\util\Filter.php文件
没有过滤details和ontaggle
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
