存儲型XSS漏洞
項目名稱:xxx電子合同
測試工具: fiddler
測試步驟:填寫後,提交後抓包,修改其中數據爲<script>alert(1)</script>,保存到數據庫,再次訪問時,直接出現彈窗
缺少後臺數據較驗漏洞
項目名稱:xx盾
漏洞工具:手工***
測試步驟:用戶列表中存在用戶狀態,狀態有凍結,解凍,註銷,註銷後的用戶不能再使用,且其他狀態設置按鈕變爲不可點擊。通過修改前臺html代碼,將解凍變成可點擊,點擊解凍,用戶狀態又恢復正常可用。
原因:缺少在後臺對用戶狀態進行較驗
存儲型XSS漏洞
項目名稱:xxx電子合同
測試工具: fiddler
測試步驟:填寫後,提交後抓包,修改其中數據爲<script>alert(1)</script>,保存到數據庫,再次訪問時,直接出現彈窗
缺少後臺數據較驗漏洞
項目名稱:xx盾
漏洞工具:手工***
測試步驟:用戶列表中存在用戶狀態,狀態有凍結,解凍,註銷,註銷後的用戶不能再使用,且其他狀態設置按鈕變爲不可點擊。通過修改前臺html代碼,將解凍變成可點擊,點擊解凍,用戶狀態又恢復正常可用。
原因:缺少在後臺對用戶狀態進行較驗
不同文件不同數據計算後md5值是一樣的,下面是實例 二進制中不同數據: 兩文件計算md5值(可見md5值相同,sha1值不同) 注:需要測試文件的私信。