专栏首页py+selenium跨站脚本攻击(反射型)笔记(四)——较罕见的操作

跨站脚本攻击(反射型)笔记(四)——较罕见的操作

正常的请求,则正常响应出页面html。

我们大部分情况下插入的xss代码,基本上都在参数值上!而今天举得例子在路径上! 

 先尝试在路径上添加123:

响应:

出现了输入对应的输出,本来挖掘跨站就是要挖掘输入对应是否输出的位置。

 所以,直接上xss语句测试。

 相对应的,响应成功弹出弹窗。

 这种是比较罕见的(可能我见的少),主要是报错的页面居然会返回所输入的错误地址,那么这个时候就应该想到这个测试点了!

这个也是被大佬挖到,我后排学习的!谢谢大佬!

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • py+selenium 自动判断页面是否报错并显示在自动化测试报告【原创】

    现在需求就是,测试报告报错信息一堆,但却无法肉眼看出是什么问题,你只能知道定位不到元素或是超时,但你却不知道其实进入页面就报错了或是提交表单就报错了!也就是看...

    逆向小白
  • py+selenium 无法定位ShowModalDialog模态窗口【已解决】

    但是selenium无法定位到这类窗口,百度说是目前selenium不支持处理模态窗口。

    逆向小白
  • 逻辑漏洞之并发测试【2】

    逆向小白
  • python--模块之time,date

    表示时间的三种方式: 时间戳、格式化的时间字符串、元组 时间戳是计算机能够识别的时间; 时间字符串是我们能够看懂的时间; 元组是用来操作时间;

    py3study
  • 加速 Webpack

    作者:吴浩麟 https://www.ibm.com/developerworks/cn/web/wa-lo-expedite-webpack/index.ht...

    企鹅号小编
  • 移动应用如何埋点收集什么数据以便于统计分析?

    国内比较普遍的第三方统计工具是友盟和talking data,在大多数的情况下这两个差别不大,但是如果你的app是游戏或者需要用到互联网金融的一些垂直细分统计,...

    CSDN技术头条
  • 计算机是如何理解自然语言的?| NLP基础

    “教”计算机理解人类的自然语言这部分工作,称作自然语言理解(Natural Language Understanding, NLU)。

    叶锦鲤
  • 常见帧率 与 帧率运用

    帧率(Frame rate)是用于测量显示帧数的量度。所谓的测量单位为每秒显示帧数(Frames per Second,简称:FPS)或“赫兹”(Hz),一般来...

    Petrichor_
  • EXP/IMP迁移案例,IMP遭遇导入表的表空间归属问题

    1.确认迁移需求:源数据库cssf 用户所有表和数据迁移到目标数据库新建用户cssf_gt下,表空间为dbs_cssf_gt。

    Alfred Zhao
  • 关于http header最大长度的那些事

    之前在项目中遇到一个关于http协议header部分最大长度限制的问题,个人觉得很有意思,于是写下这篇文章记录这个问题。

    Bruce Li

扫码关注云+社区

领取腾讯云代金券