1、持久式XSS(Cross Site Scripting 跨站)漏洞:客户端请求到服务器端,服务器没有验证请求中的信息,作为合法数据保存到数据库,其他用户打开相关页面时,数据库中跨站攻击脚本在浏览器被执行,形成持久式跨站请求风险。比如存在持久式XSS漏洞的BBS发帖发一个帖子内容包含“<script>code</script>”,然后就守株待兔地等看帖人执行脚本:
2、以下实际场景实验,打开靶机页面:
3、在Message 输入框里输入
提交:
4、重新打开靶机页面,之前输入脚本被执行:
5、进入数据库观察,看到JS脚本被保存到表内,证明网站存在持久式XSS(跨站)漏洞:
网友评论