如何快速发现一个网站的安全漏洞网站漏洞扫描器代码( 二 )

文章插图
这一variant（自变量），便是我们要找的地区，点击variant（自变量）选择项，在右侧就可以见到有关该系统漏洞的详细说明：
This script is possibly vulnerable to Cross Site Scripting (XSS) attacks.
Cross site scripting (also referred to as XSS) is a vulnerability that allows an attacker to send malicious code (usually in the form of Javascript) to another user. Because a browser cannot know if the script should be trusted or not, it will execute the script in the user context allowing the attacker to access any cookies or session tokens retained by the browser.
This vulnerability affects /.
Discovered by: Scripting (XSS.script).
大家点一下view http headers查询一下该xss漏洞有关的http头信息内容：
GET /user.php HTTP/1.1
Cookie: PHPSESSID=599km020nnmc8e8p0i4ketd3i4; ucp_lang=Chinese; login_user=Chinese'"()&%<acx><ScRiPt >prompt(915518)</ScRiPt>
Referer: http://172.30.0.2:80/
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36
Accept: */*
Host: 172.30.0.2
点一下view html response，果真见到弹出来了915518：

文章插图
他说道是login_user这一主要参数有一个xss漏洞（并且是反射面型xss漏洞），那麼，我们可以尝试手工制作认证下是否AWVS乱报呢
如果是get方法型恳求数据信息：
开启Firefox（别的：Chrome，IE，Safari也可以），如下图：

文章插图
手工制作认证沒有弹出来915518，表明这儿不会有xss漏洞，是AWVS专用工具乱报。
版权声明：本文内容由网友提供，该文观点仅代表作者本人。本站（http://www.diemang.com/）仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容，请发送邮件至 3933150@qq.com 举报，一经查实，本站将立刻删除。

以上关于本文的内容，仅作参考！温馨提示：如遇健康、疾病相关的问题，请您及时就医或请专业人士给予相关指导!

「四川龙网」www.sichuanlong.com小编还为您精选了以下内容，希望对您有所帮助：

如何快速发现一个网站的安全漏洞 网站漏洞扫描器代码( 二 )

如何快速发现一个网站的安全漏洞网站漏洞扫描器代码( 二 )