越权+存储XSS攻击任意用户
越权+存储XSS攻击任意用户
账号1的,id为1
在账号2中抓包并修改name和ids
其中name修改为xss payload,然后ids修改为其他用户的id,注意xss payload需要抓包修改,前端会进行校验
用fiddler工具使用修改请求参数去测试。
越权+存储XSS攻击任意用户
账号1的,id为1
在账号2中抓包并修改name和ids
其中name修改为xss payload,然后ids修改为其他用户的id,注意xss payload需要抓包修改,前端会进行校验
用fiddler工具使用修改请求参数去测试。