当前位置:怎么盗别人的QQ密码,破解QQ密码,怎么盗QQ号,盗QQ密码,QQ盗号软件下载qq盗号技术黑客技术加密解密
日期:2015-12-31 16:11:12  来源:本站整理

黑客入侵改单到沦陷时时彩续集XSS长度限制绕过实例

上文在结尾留下了一个XSS跨站漏洞,据我所知,通过上次一个并没有多少技术含量的小漏洞还是小部分人刷到钱了!

首发:SSS论坛
卖萌:磊哥,你看我这么萌,上次说的版主一事儿是不是考虑考虑
目的:没有分享,就没有收获,习科一直是很敬重的论坛和前辈
声明:这并不是黑产

这一次我们又搞到不少钱,已经不需要发图证明什么了。

正文:
昨晚跟99hb语音了一晚上,无聊想再搞搞那个博彩站点。上去一顿注入无果,于是打算从XSS下手。首先找到了第一个XSS,丢了过去

结果是我被黑霸这傻逼嘲笑了。。。。这个他早就发现了但是并没有什么卵用。我说,想办法让管理员审核~~后来想想这也不太现实,这种博彩站客服不会无聊到看你资料的。那么什么才是客服一定会看的输出点呢?我想到了提现,因为提现需要后台审核,客服一定会看,所以我打算从提现下手

到了这里在开户支行名称这里,我觉得是一个可行的输入点,但是发现他限制了长度。我们的XSS代码没办法全部输入进去。于是想办法绕过。
关于长度限制,大体分两种方法:
一种是前端限制,
一种是后端限制。
前端限制是在数据还没有提交给服务器之前先由前端来验证长度并限制长度。这种长度限制比较好绕。
前端限制也分两种:
1、Html标签长度限制
2、JS脚本长度验证限制
本例属于Html标签限制了长度。在文本框的属性里有一个叫maxlength的标签,顾名思义,也就是最大长度,这里的值给30,那么这个文本框就最大能输入30。
既然知道原理那么绕过也简单了

将长度这里的30改成100再输入,我们发现可以了

那么这里是Html标签限制了,那么如果是JS脚本限制了怎么办?由于JS脚本是先检测长度,超过了长度就不提交这个表单,所以我们要用抓包改包的方式,绕过JS的限制,然后发送这个请求,也就是改包之后自己提交这个表单给后端


cookie截图

有些朋友应该很好奇时时彩的后台!
 


 

Tags:

作者:佚名

文章评论评论内容只代表网友观点,与本站立场无关!

   评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
关于本站 - 网站帮助 - 广告合作 - 下载声明 - 友情连接- 网站地图
Copyright © 2018-2019 Wldnc.Com. All Rights Reserved .
本站内容来源网络收集,仅供用于黑客技术安全学习参考,请遵守相关法律法规
打造国内最大的黑客资源免费发布站
提供最权威的黑客攻防教程,黑客安全工具
怎么盗别人的QQ密码,破解QQ密码,怎么盗QQ号,盗QQ密码,QQ盗号软件下载