这个不是XSS反射型漏洞吗?

头像
simonbaker
     广东
    阅读 1 分钟

    背景

    有人问了个问题:这个不是XSS反射型漏洞?为什么?


    然后他发了个录屏给我看。


    录屏主要内容是下面这样的:

    正常在网站搜索什么,search接口就会返回搜索到的数据列表。

    比如在网站中搜索"xss",search接口就返回几条xss相关的数据。

    他是这样做的:

    他在网站中输入了"xss",然后通过fiddler工具,把这个search接口的响应内容改了。

    比如在其中的一条数据,嵌入了XSS攻击代码。

    比如下面的代码:

    <img src='x' onerror='alert(/ice/);'/>

    然后他看到网站弹窗了,就觉得自己成功的找到了XSS漏洞,而且是反射型漏洞。

    我说:其实,这个不是XSS反射型漏洞。

    详情: https://mp.weixin.qq.com/s?__...

    有问题可群咨询:
    https://public-1253796280.cos...

    xss
    本文系转载,阅读原文
    https://mp.weixin.qq.com/s?__biz=Mzg5Mjc2NDYwMg==&mid=2247484387&idx=1&sn=d0b0e090f9dbcc46c7512a79e1b42f7c&chksm=c0386b36f74fe220d8ab1ef3e6e45e317862d077f1ef53e8ead37000f8b5a71d9414a4b8267b&token=964908917&lang=zh_CN#rd
    simonbaker
    256 声望2 粉丝

    wx:毛毛虫的小小蜡笔

    « 上一篇
    转义后是否能构造出XSS攻击?
    下一篇 »
    https是怎么防止中间人攻击的

    引用和评论

    推荐阅读
    头像
    Linux上安装DVWA,小白也能上手

    simonbaker阅读 570

    头像
    服装消费“变天”,行业风向几何?

    服饰商品运营管理阅读 509

    头像
    从单品到全盘:解锁服装商品企划的全局密码

    服饰商品运营管理阅读 370

    头像
    浏览器如何确定最终的CSS属性值?解析计算优先级与规则

    已注销阅读 64

    0 条评论
    得票最新