【2020】复现鹅厂校园招聘网惊现seifxss漏洞

鹅厂校园招聘网惊现xss漏洞,现在时间是9点整 ,等我码完这篇帖子估计都10点左右了, 马上2020年了 你们帅气的万人迷的夜陌哥哥也没有啥可以送给那些一直支持 蓝域安全网的人,

今天就写一篇 自己日常挖洞测试中发现的关于 鹅厂招聘网的一个xss网站漏洞,这个漏洞是之前发现的 ,今天顺便写出来 大家见笑了嗷!


当然 文章写出来 各位老表 千万千万不要搞事情,如果你们希望我在里面吃饭 还附戴 一双 豪华版银手镯 那就随你便吧 !(反正危害性为0, 也就小白测试玩玩 )


不多说,我们打开鹅厂招聘网,点开个人简历编辑

在这个页面 自己随便填 ,我们点击下一步

在编辑用户名这里 , 漏洞就出现 在 这里 我们F12看一下 审查元素!!

经过多次测试 发现 鹅厂 并没有在这里做好过滤操作 , 然后 测试 命令  " oninput=alert(1);//

(这里讲一下 为什么 会多出一个 引号 这里的主要作用 就是 进行 一个 闭合 !,然后 后面的 就不用我多进行解释了吧 !) 

(但是 这里有限制 长度 这个 大家可以通过 内联注释 绕过 长度限制)

然后我们进行 测试 看看 !

然后我们直接 保存  预览 一下!

然后我们输入 名字 会发现 弹窗了 内容 就是 我们刚刚写的 !

完美复现 ,当然这个只能自己打自己 闹着玩  并不能直接写进 原页面  也就相当于 做了一个靶机测试吧!


更多相关文章阅读:

版权保护: 本文由蓝域安全网所发布,转载请保留本文链接: http://www.yemogege.cn/wzaq-stwz/533.html

免责声明:蓝域安全网所发布的一切渗透技术视频文章,逆向脱壳病毒分析教程,以及相关实用源码仅限用于学习和研究目的
请勿用于商业用途。如有侵权、不妥之处,请联系站长并出示版权证明以便删除! 

侵权删帖/违法举报/投稿等事物联系邮箱:yemogege@vip.qq.com 网站地图