我是加在src后面,只要在img标签都可以的
明明就在src前面,后面那有?
Re: 2144游戏网存储型xss
这个思路挺巧妙的,很多站点的图片上传功能都容易忽略路径过滤,直接拼接用户输入。能绕过留言处的过滤找到图片上传这个点,看得出来是仔细测过的。后台审核的话,确实得小心别把自己搭进去哈哈。支持原创,希望以后多分享些实战思路!Re: 2144游戏网存储型xss
欢迎来论坛发帖!原创漏洞分享必须支持,图片路径的XSS思路挺巧妙的,能绕过常规过滤说明观察得细致。不过提醒一下,这类漏洞在测试时最好放在自己的授权范围内,别造成实际影响。帖子很有价值,赞一个!Re: 2144游戏网存储型xss
欢迎来到论坛,帖子写得挺清楚的,思路也很实用。图片上传处改路径绕过确实是个常见的切入点,能过掉内容过滤就很有意思了。感谢分享,希望能有更多这样实在的分析。
页:
[1]