当前位置: 首页 > news >正文

白捡一个存储型XSS

news 2025/8/26 9:11:47

请添加图片描述
本文由掌控安全学院 - 杳若 投稿

起因

利用fofa搜索时发现

  1. org="China Education and Research Network Center" && body="/register"在这里插入图片描述

任意用户注册

在找到该CMS的时候发现存在任意用户注册的情况

http://xxxx.edu.cn/student/Register.ashx

内容都可以伪造
在这里插入图片描述
注册后得到账号 xxxxxx 密码 xxxx

后端姓名处存储XSS/前端限制绕过

在个人姓名处发现姓名存在的是前端限制,进行后端抓包突破
在这里插入图片描述

  1. <img src=x onerror=alert(1) //

来到分享界面获取我个人的url 触发XSS在这里插入图片描述

请添加图片描述
请添加图片描述

http://www.lryc.cn/news/177395.html

相关文章:

  • SpringMVC 学习(五)转发,重定向和传参
  • selenium不定位元素直接使用键盘操作(如弹框操作)
  • Inno Setup安装中文语言
  • 【数据库——MySQL】(10)视图和索引
  • No servers available for service: renren…。 Gateway 网关报503错误 ,已解决
  • 【Spring Cloud】深入理解 Eureka 注册中心的原理、服务的注册与发现
  • 添加路径到头文件默认搜索路径
  • 掌动智能:替代JMeter的压力测试工具有哪些
  • Casper Network 构建企业级区块链生态的野望
  • TiDB 7.1.0 LTS 特性解读丨关于资源管控 (Resource Control) 应该知道的 6 件事
  • Django Web开发入门基础
  • Baumer工业相机堡盟工业相机如何通过BGAPI SDK设置相机的图像剪切(ROI)功能(C#)
  • LetCode算法题---第2天
  • Leetcode.2571 将整数减少到零需要的最少操作数
  • 微前端无界 项目使用记录
  • CDH 6.3.2升级Flink到1.17.1版本
  • 基于谷歌Transeformer构建人工智能问答系统
  • 【2023年11月第四版教材】第15章《风险管理》(合集篇)
  • python常见面试题四
  • stm32无人机-飞行力学原理
  • Java括号匹配
  • 自动化测试-友好的第三方库
  • 基于微信小程序的火锅店点餐订餐系统设计与实现(源码+lw+部署文档+讲解等)
  • 亿图脑图新版本支持思维导图一键生成PPT、音视频等格式,办公提效再升级
  • Arthas:Java调试利器使用
  • Nuxt 菜鸟入门学习笔记七:SEO 和 Meta 设置
  • 栈(Stack)和队列(Queue)
  • LeetCode 75 part 06 栈
  • 19.组合模式(Composite)
  • 应用在IPM接口隔离领域中的光电耦合器