Fatal编程技术网
  • xss/
  • XSS DOM易受攻击

XSS DOM易受攻击

XSS DOM易受攻击,xss,Xss,我测试了该站点的漏洞(文件夹/服务联系人),发现了可能的XSS DOM问题(使用Kali Linux、Vega和XSSER)。不过,我尝试使用“警报”脚本手动测试url,以确保它易受攻击。我曾经 没有显示警报框/弹出窗口,只有html代码显示在联系人表单框中 我不确定我是否使用了正确的代码(我是一名新手),或者是否做了正确的解释。服务器是Apache,使用javascript/js 你能帮忙吗 谢谢 这不易受XSS攻击,无论您在URL中写什么,都将在下面的表单部分(Vraag/opmerkin

我测试了该站点的漏洞(文件夹/服务联系人),发现了可能的XSS DOM问题(使用Kali Linux、Vega和XSSER)。不过,我尝试使用“警报”脚本手动测试url,以确保它易受攻击。我曾经

没有显示警报框/弹出窗口,只有html代码显示在联系人表单框中

我不确定我是否使用了正确的代码(我是一名新手),或者是否做了正确的解释。服务器是Apache,使用javascript/js

你能帮忙吗

谢谢

这不易受XSS攻击,无论您在URL中写什么,都将在下面的表单部分(Vraag/opmerking)中显示。双引号(“)将被转义。如果您尝试另一个负载,如
alert(/xss/)
这也不起作用,因为这既不反映存储也不反映存储。您将在Vraag/opmerking中看到文本输出。不要依赖在线扫描仪,手动测试基于DOM的XSS。检查接收器和源并分析它们。

该工具是正确的。该站点上存在XSS漏洞,但是概念验证(PoC)代码错误。的内容只能包含(请参阅)。因此您的
警报(“测试”)
被解释为文本,而不是HTML代码。但您可以关闭标记,然后插入javascript代码

以下是工作PoC URL:

https://www.babyland.nl/service-contact/alert(“测试”)

其呈现为:

该站点似乎不易受到XSS攻击(至少通过您建议的向量)。在扫描仪中听起来像是误报。