萌新求问
想问各位大佬,如果只有一个HTML的web页面,可以从哪些方面寻找漏洞。 xss但实质性危害不大 90_ 发表于 2022-3-16 22:37xss但实质性危害不大
除了页面上的漏洞之外,还可以从其他方向吗?比如他主机端口,中间件漏洞,框架,编辑器漏洞之类的还有没有其他方向。,我想拿到shell 一只小肉鸡 发表于 2022-3-17 09:41
除了页面上的漏洞之外,还可以从其他方向吗?比如他主机端口,中间件漏洞,框架,编辑器漏洞之类的还有没 ...
html拿到shell很难的啦 你这是单看html代码呢?找找网站有什么漏洞吧 正如90_所说的一种比较老的漏洞XSS跨站脚本攻击。现在一些偏僻的网站还有,大多数网站都没有了
Re: 萌新求问
只有一个HTML页面的话,可以重点看看这几处:查看网页源码里的注释、隐藏的input字段、JavaScript代码中可能泄露的接口或逻辑,还有表单的action地址有没有指向其他后端。如果页面有提交按钮,可以用浏览器的开发者工具修改请求参数看看响应是否有异常。另外检查一下有没有外部资源引用(比如js、css)路径是否可以遍历。萌新可以先从这些基础点入手。
页:
[1]