Javascript漏洞指的是通过某种方式绕过前端的javascript逻辑进行服务器访问。
–low级别:
服务器端代码:
提交token无效的结果如下:
因为这里要求是在文本框中提交success内容,并且获取到最新token信息,才能提交成功。
因此,先在文本框中输入success,然后再console控制台中,手动调用generate_token()函数。生成新的token后,再点击submit进行提交。
具体如下
提交结果:
–medium级别
服务器端代码:
在页面中phrase文本框中,先输入success,再手动调用do_elsesomething()函数并指定参数为:XX,再进行提交。
具体如下:
提交结果如下:
–high级别:
服务器端代码:
由于在high.js中进行了ob混淆,在线解混淆地址:http://deobfuscatejavascript.com
具体如下:
执行结果:
© 版权声明
文章版权归作者所有,未经允许请勿转载。
相关文章
暂无评论...