bodgeito通关教程
首先给上我们的页面
我们来到搜索处输入<script> alert(/xss/)</script>
发现xss
让我们看看源码啊,获取q之后没有过滤xss代码就输出出来了
还有个存储xss在留言板处构造
<scri<script>pt> alert(/xss/)</sc</script>ript>
我们这里重写script语句是因为源码把我们的<script>语句换成空了,我们重写即可绕过
再看看管理员那里
当我们注册完用户后登录发现把我们的用户输出出来了
源码这里说只判断是否为空,不为空就输出出来,所有我们是可以输出xss的
我们注册一个用户
账号:@<script>alert(/xss/)</script>
密码:testtest
登录处是可以注入登录的
test@qq.com'or 1='1
源码这里也就是获取,判断不为空就拿去查询了
购物车还存在水平越权,在cookie处添加上b_id=3,就是其他用户购物车id,即可看到其他用户的购物车了
加上;b_id=3
修改密码处有个csrf,我们抓包看看
只要让用户点击一下即可修改密码
因为源码中并没有判断原密码
我们的攻略结束了~~~~~~
bodgeito通关教程相关推荐
- pikachu通关教程
pikachu通关教程(暴力破解和xss) 1.暴力破解 基于表单的暴力破解 1.最简单的暴力破解没有验证码不需要绕过,直接进行抓包. 直接找到一组账号和密码 验证码绕过(on server) 先进行 ...
- Cheat Engine游戏脚本修改器通关教程(脑残版Step9)
文章目录 Step 9 方法一 方法二 Step1 - Step8 通关教程地址(该教程写在2017年9月2日,现在疫情宅在家,补完后续教程):https://cylycgs.blog.csdn.ne ...
- 视频教程-信息系统项目管理师-通关教程4-软考
信息系统项目管理师-通关教程4 微信企业号星级会员.10多年软件从业经历,国家级软件项目负责人,主要从事软件研发.软件企业员工技能培训.已经取得计算机技术与软件资格考试(软考)--"信息系统 ...
- Upload-Labs靶场 1-21全通关教程
Upload-Labs通关 靶场介绍 安装 文件上传漏洞介绍 BurpSuite的简单使用 安装BurpSuite 配合Firefox使用 万能WebShell 正文开始 Pass-01 Pass-0 ...
- XSS Game通关教程
12.XSS Game通关教程 1.Ma Spaghet! 审查源码 一个不安全的方式,直接get传输somebody 输入123看看位置 ?somebody=123 如下 用下input标签即可 & ...
- Sqli-labs全通关教程(手工注入+工具使用sqlmap)
提示:手工注入就不写了,发现有很多了,质量也还可以,今天就写个sqlmap通关教程吧 文章目录 前言 一.sqli-labs1-10(get型) 二.sqli-labs 11-16(post型基础注入 ...
- 独孤九剑xss通关教程
独孤九剑xss通关教程 独孤九剑第一式: 这里过滤了 =() 构造payload: ?data="><svg><script>%26%23x65%3B%26%2 ...
- WebGoat 8.1 靶场 刷题通关教程全攻略 - (A1) Injection
WebGoat 8.1 靶场 刷题通关教程全攻略 - A1 Injection (A1) Injection SQL Injection (intro) 2. It is your turn! 3. ...
- xss.haozi.me通关教程
10.xss.haozi.me通关教程 0x00 首先整体浏览网站 分别是xss注入点,注入后的HTML代码以及网页源码 构造常规payload: <script>alert(1)< ...
最新文章
- Fastlane- app自动编译、打包多个版本、上传到app store
- R多变量正态性检验(Multivariate Normality Tests)
- ML之DL:机器学习领域发展最快的分支【深度学习】的发展史及其重要性节点之详细攻略
- css应用网页设计,CSS技术在网页设计中的运用
- 关于iPhone 中sqlite文件的使用
- 泰勒及洛朗展开学习笔记
- HTML/CSS基础知识(四)
- java中怎么判断一段代码时线程安全还是非线程安全_Java 中的多线程你只要看这一篇就够了...
- RIP报文封装、OSPF封装、OSPF——cost值
- 机器视觉产品技术市场需求日益增长
- 软件测试个人感悟之测试用例的评审重点是什么?
- 7种常用数据分析方法 (下)
- 春节假期 最强抢票攻略
- zcmu 1919: kirito's 星爆气流斩
- k30pro杀进程严重怎么解决_命运2掉帧严重怎么解决?GoLink免费加速器助力玩家稳定畅玩...
- 3.2.1 LinearLayout(线性布局)
- 有道笔记不能连接网络/IE不能上网 - 解决办法
- 《精通CFD工程仿真与案例实战---FLUENT GAMBIT ICEM CFD Tecplot(第2版)》—— 导读...
- WPS Excel数据表格处理分析技巧
- 微信支付开发,基于SpringBoot+Vue架构的Java在线支付项目
热门文章
- ERP 系统的应用对企业财务会计信息系统内部控制的影响
- web app 第三方登录-微博登录(一)
- 【CZY选讲·吃东西】
- 基本类型为空导致线上空指针异常问题 java.lang.NullPointerException: cannot unbox null value
- html表格自动分列,html页面中表单怎么用div分列布局
- Python实现生成多个不同半径、互不重叠的圆形的方法
- 官宣!CATCTF不日开赛!!
- TL-WR720N路由器Android安卓不能连接外网问题解决
- ArcGIS教程:要素类基础知识(一)
- c758f52e87.html,浅析小学英语课堂教学艺术