问题:
打开网站发现就这么一个页面
题目给了源码
因为靶场我们不好反弹shell
DOM破坏基础
XSS (Cross-Site Scripting) 是一种常见的 Web 安全漏洞,攻击者通过在网页中注入恶意脚本,使得其他用户在访问该页面时执行这些脚本。
进入微信,搜索盲盒小程序发现有很多的小程序
数据库在执行SQL语句时,通常会先对SQL进行检测,如果SQL语句存在问题,就会返回错误信息。通过这种机制,我们可以构造恶意的SQL,触发数据库报错,而在报错信息中就存在着我们想要的信息。但通过这种方式,首先要保证SQL结构的正确性。
XSS主要原因: 过于信任客户端提交的数据!
1.收集资产 (子域名,小程序,等)
2.一般从分站入手,比如测试站点,从测试站通过弱口令爆破(密码喷洒),接口泄露等 进入后台,看是否有文件上传,文件包含等利用点,能上传webshell,从而拿到网站源码
3.代码审计,找到可利用的点,对主站进行渗透
4.或者可以找到AK,SK,等等 都可以进行利用
