存儲型xss原理:
攻擊者在頁面插入xss代碼,服務端將數據存入數據庫,當用戶訪問存在xss漏洞的頁面時,服務端從數據庫取出數據展示到頁面上,導致xss代碼執行,達到攻擊效果

案例:
在一個搭建的論壇網站中,

根據存儲型xss注入的條件,要找到可以存儲到數據庫的輸入位置,并且這個位置還可以被其他用戶查看,
例如在此網站中,我們可以嘗試在發帖、評論區、標題、標簽，以及個人主頁的名稱、簽名、地址…等位置

帖子中：

發現只有點擊xss才會顯示彈窗，說明這不是一個存儲型xss，因為他只能影響到自己

發表后發現，xss代碼顯示不出來

查看源碼發現，error被過濾，xss注入失敗

在個人主頁嘗試注入

名稱有字符數限制，個簽和城市都被過濾

在評論區注入

被過濾

標簽注入:

出現彈窗

發布后,每次打開這個帖子都會出現彈窗,說明xss注入成功

我們就可以利用這個注入點拿cookie等操作

點擊帖子出現cookie

得到cookie我們就可以通過輸入cookie,回車直接登陸該賬號

總結

以上是生活随笔為你收集整理的存储型xss案例的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。