标签:blog html 插入 get shadow 返回JSON数据 改变 请求 数据
主要操作思路:更改数据包中的type值。当type为空的页面时候返回html,虽然插入了xss代码并没有弹窗,如图
更改type值,页面返回json数据
当原本type就存在值怎么办呢,可以试试改变传输方式,将POST请求改成GET
附加一个~
有时候添加一个新的参数,参数名就可能存在xss。
天天测试的日子,让人都恍惚了~
标签:blog html 插入 get shadow 返回JSON数据 改变 请求 数据
原文地址:http://blog.51cto.com/13539934/2330886
