0x03 DOM Injection(DOM注入)
原理:一些应用程序特别是使用AJAX的应用程序使用javascript,DHTML和eval()方法直接操作和更新DOM.攻击者可以通过截取回复并尝试注入一些...0x04 XML Injection(XML注入)
原理:AJAX应用程序使用XML与服务器交换信息.恶意攻击者可以轻松拦截和更改此XML。
目标:尝试使自己获得更多的奖励。...JSON可以有很多形式,例如数组,列表,哈希表和其他数据结构.JSON广泛用于AJAX和Web2.0应用程序,并且由于其易用性和速度而受到程序员对XML的青睐.但是,JSON和XML一样容易受到注入攻击...URL并将其存储在另一个网站上,通过电子邮件发送或以其他方式欺骗受害者点击它。...目标:寻找优惠券的代码并利用客户端验证提交成本为0的订单。
1.寻找优惠券代码
定位到输入框的位置,发现,存在一个键盘事件,会使用AJAX后台检测输入,
?