文章总结: 该文档是一篇关于反射型XSS漏洞的实验教程,详细介绍了通过URL传参构造Payload触发弹框的完整实验流程。文档包含实验目的、环境配置、原理说明和具体操作步骤,帮助读者掌握XSS漏洞挖掘方法和类型判断技巧,最终确认案例属于非持久性的反射型XSS漏洞。文末还提供了更多学习资料的获取渠道。 综合评分: 68 文章分类: WEB安全,实战经验,漏洞分析,安全培训,渗透测试
刷新之后payload未留存即可判断
原创
建哥聊安全 建哥聊安全
建哥聊安全
2026年6月8日 09:27 湖南
在小说阅读器读本章
去阅读
免责声明:严格禁止对任何未授权系统/网络进行扫描、攻击或入侵。 禁止制作/传播恶意程序,禁止参与任何网络犯罪。如擅自将本文实验技术用于非法用途,一切法律后果及责任由行为人独立承担,与作者无关。
反射型XSS
实验目的
通过本实验,掌握挖掘XSS漏洞的方法以及根据XSS漏洞不同分类的特点,判断挖掘出来的XSS漏洞属于什么类型的。
实验环境
·操作机:Win10 用户名:Administrator 密码:Sangfor!7890
·靶机:Apache + PHP
·实验地址:http://ip/webug/pentest/test/9/
实验原理
在页面点击,找到URL中传参位置,构造Payload使其弹框,根据不同分类特点判断漏洞类型。
实验步骤
1、登录”Attack”操作机,打开浏览器,访问http://ip/webug/pentest/test/9/
2、页面没有任何信息,只有一个超链接,点击超链接,发现URL中有传参的位置
3、将URL中的参数值更改为“xss”,发现页面中的数据更改
4、将URL中的参数值更改为XSS验证的payload
页面弹框
5、点击“确定”,右击,查看页面源代码,发现提交的payload被写入页面中
6、返回网站页面,点击超链接,页面未弹框,需要重新提交payload,说明该网站的XSS漏洞是非持久性的,从而判断出该网站的XSS漏洞是反射型XSS
实验总结
通过本实验,掌握挖掘XSS漏洞的方法以及根据XSS漏洞不同分类的特点,判断挖掘出来的XSS漏洞是非持久性的,且提交的payload会写入页面中,属于反射型XSS。
更多学习资料点击头像关注公众号,后台私信回复666即可领取视频学习资料,赶紧来领取吧!!!
往期精选:
看完这个实操,分清XSS漏洞属于哪种类型!
赶紧自查,该文件可造成信息泄露!
看完这篇,轻松判断XSS的类型
多了不说,这个常见漏洞直接实操!
这种中间件特殊符号”/” 存在 漏洞
注意!这个中间件漏洞别忽视
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:建哥聊安全 建哥聊安全 建哥聊安全《刷新之后payload未留存即可判断》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。











评论