1.点击图片完成get请求,提交name变量test,完整的显示在返回的页面源代码中。
2.get请求的name变量放入xss poc,完整返回在html中,浏览器响应xss poc。
3.后台代码分析,通过$_GET[“name”],获取name的值,没有过滤通过echo直接进行了输出
1.点击图片完成get请求,提交name变量test,完整的显示在返回的页面源代码中。
2.get请求的name变量放入xss poc,完整返回在html中,浏览器响应xss poc。
3.后台代码分析,通过$_GET[“name”],获取name的值,没有过滤通过echo直接进行了输出