.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
0x00序文
パブリックテストと排他的なテストに関して、XSSホール、水文学、水文学、水文学を拾う方法!
0x01毎日のテスト
毎日の退屈テストサイト。侵入テストを受けている場合、サーバー内のイメージを呼び出すHTMLタグがあり、サーバーIPアドレスを追加するタイプであることがわかります。ホストヘッダーを変更してXSSがあるかどうかを検出することにより、ファズを試みることができます。
この状況を見ると、後者のコードは次のように見える可能性があると推測できます。リクエストパッケージでホストを変更すると、XSSが発生する可能性があります。
成功ポップアップウィンドウ
ラグを拾うためのヒントが完了しました。
元のリンクから転載:https://Blog.csdn.net/guapichen/article/details/124040935?spm=1001.2014.3001.5501