存储型XSS原理讲解及实战实验（存储型xss和反射型xss）

存储型XSS原理讲解及实战实验（存储型xss和反射型xss）

原理：使用者提交的XSS代码被存储到服务器上的数据库里或页面或某个上传文件里，导致用户访问页面展示的内容时直接触发xss代码。 输入内容后直接在下方回显，回显的地方就是我们插入的内容的地方。

根据显示代码进行闭合弹框尝试，payload：

在pikachu平台自带有钓鱼功能,鱼饵:src="href="的 HTTP 认证机制仅在 PHP 以 Apache 模块方式运行时才有效，因此该功能不适用于 CGI 版本，我这里使用的是phpStudy搭建的环境，默认是以CGI版本运行PHP。后续通过重新搭建环境解决此问题。一直没有写入到数据库中键盘记录：

payload:

将pik中rk.js文件中ip修改为云服务器的ip。

把上述payload写入输入框中，当前页面的键盘就会被记录

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。