首先访问我们的靶场:
👉 https://range.x8s.pw/
图1
二、注册并使用 XSS 平台
进入我们的平台 👉 x8s.pw
注册账号
图2
创建项目
点击「全部项目」 → 「创建项目」
图3
选择模块
模块选择默认模块
图4
保存后获取代码
系统生成一段测试代码:
三、注入靶场
前往靶场注册(此处略过演示)。
图5、图6
进入「用户资料编辑」。
图7
将平台生成的代码粘贴进去并保存,返回首页。
图8
点击「切换演示模块」,后台即可收到对应的 XSS 上报。
图9
四、原理分析
在页面模板中,存在两种输出方式:
<?php if ($isUnsafe): ?>
<!-- 明文输出:可能触发 XSS -->
<td><?= $u['nickname'] ?></td>
<td><?= $u['bio'] ?></td>
<?php else: ?>
<!-- 转义输出:安全 -->
<td><?= e($u['nickname']) ?></td>
<td><?= e($u['bio']) ?></td>
<?php endif; ?>
明文输出:用户输入未经处理直接拼接到 HTML 中,攻击者插入的 </td>
<td></td>
<td>2025-08-24 13:25:42</td>
这里因为使用了明文输出,攻击代码被当作 HTML 执行,触发了 XSS。
五、修复方案列表
图补
微信扫码关注公众号 更新内容早知道
© 版权声明
本站网络名称:
爱乐享资源网
本站永久网址:
https://www.alz888.cn
网站侵权说明:
本网站的文章部分内容可能来源于网络,仅供大家学习与参考,如有侵权,请来信[ langnb8@gmail.com] 删除处理。
1 本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责。
2 本站一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报
3 本站资源大多存储在云盘,如发现链接失效,请联系我们我们会第一时间更新。
1 本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责。
2 本站一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报
3 本站资源大多存储在云盘,如发现链接失效,请联系我们我们会第一时间更新。
THE END
暂无评论内容