zoukankan      html  css  js  c++  java
  • 渗透测试中我见过的一些烂网站

    今天,复测运营商的内部项目,局域网内的网站,用于管理分公司的信息和调度,上周复测,发现有xss;这周复测发现还是存在。

    我们来说网站写的有多烂:

      1.插入数据时,没有在服务端检查数据的唯一性,可以重复进行插入同一条数据。

      2.删除数据时,点击一个重复数据,进行删除,发现所有的重复数据都看不到了。

      3.但在其他调用本数据的模块中发现重复数据还是存在的,原因是什么?为什么本数据模块查询不到了?

      4.对方反馈信息说xss修复了,但只是我写出的少部分链接修复了,这说明开发处理xss字符肯定不是调用的一个模块,很有可能是每个输入框都单独写了代码。

      5.有一个模块的xss修复了,虽然不能插入带有js代码的数据,但之前插入的xss数据,还在一直弹框,而且,我尝试删除这条数据,提示我非法数据,说明开发删除功能上传了xss数据,而不是根据ID删除,这很傻,

      怪不得网站这么卡。

  • 相关阅读:
    Python基础笔记(五)
    Python基础笔记(四)
    Python基础笔记(三)
    Python基础笔记(二)
    Python基础笔记(一)
    分页存储过程
    MD Test
    vue路由的配置技巧
    Echarts的使用与配置项
    js中call,apply,bind之间的区别
  • 原文地址:https://www.cnblogs.com/twpone/p/9270040.html
Copyright © 2011-2022 走看看