【网络安全】漏洞案例：提升 Self-XSS 危害

扫测资讯 2024-10-16 06:07 17 0

未经许可，不得转载。

目标应用程序为某在线商店，在其注册页面的 First Name 字段中注入XSS Payload：

注册成功，但当我尝试登录我的帐户时，我得到了 403 Forbidden ，即无法登录我的帐户。

我很好奇为什么我无法登录我的帐户，所以我打开了 Burp 并拦截了登录请求，以查看为什么会收到 403 Forbidden 。我发现浏览器向服务器发送了两个请求。

第一个请求中包含我的用户名和密码：

POST /login HTTP/2
Host：www.example.com

loginID=attacker@gmail.com&password=xxx123

其返回包为200 OK，返回体中包含我的个人信息，如 FirstName 、 lastName 、 UID 等等。

第二