简单的一次edusrc挖掘
本文由 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
笔者前言:作为一名学生,每日就是学习,平常偶尔挖挖漏洞,看到过各种奇葩漏洞,于是便有了这样一篇文章。以下文章均有本人测试发现打码,各位师傅可以一起学习,侵删!
XSS类型
最常见的几种分类:反射型(非持久型)XSS、存储型(持久型)XSS、DOM型XSS、通用型XSS、突变型XSS
今天挖掘的是反射型/存储型xss
1.打开网站,先来一波信息收集
这个网页视乎有点老,通过子域名扫描发现,有一个网站有注册账户密码
我一般喜欢在线子域名扫描器(https://phpinfo.me/domain/),大家可以试一下
直接注册虚假信息(成功),这里发现这个源码有很多网站用
登录
发现一个修改个人资料的(冲)
发现有一个框,直接反射性xss
成功,这漏洞白送
已经提交教育行业报告平台了,
找到了这个源码的很多站,通用提交,爽歪歪
师傅们还记得上次逻辑漏洞吧,已发证书了,真的有点小高兴
这个文章写的不太友好,抱歉,还请各位师傅多多包容,不是不写详细而是不想被喝茶,请各位师傅多多包容。
后记
神兵虽好,终是身外之物。要有所得,看文章,多复现,找思路,写文章。多加勉励吧!少年,国家安全需要你的守护!--阜阳第一菜鸡
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
文章目录