刷新之后payload未留存即可判断

admin 2026-06-30 07:55:30 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 该文档是一篇关于反射型XSS漏洞的实验教程,详细介绍了通过URL传参构造Payload触发弹框的完整实验流程。文档包含实验目的、环境配置、原理说明和具体操作步骤,帮助读者掌握XSS漏洞挖掘方法和类型判断技巧,最终确认案例属于非持久性的反射型XSS漏洞。文末还提供了更多学习资料的获取渠道。 综合评分: 68 文章分类: WEB安全,实战经验,漏洞分析,安全培训,渗透测试


cover_image

刷新之后payload未留存即可判断

原创

建哥聊安全 建哥聊安全

建哥聊安全

2026年6月8日 09:27 湖南

在小说阅读器读本章

去阅读

免责声明:严格禁止对任何未授权系统/网络进行扫描、攻击或入侵。 禁止制作/传播恶意程序,禁止参与任何网络犯罪。如擅自将本文实验技术用于非法用途,一切法律后果及责任由行为人独立承担,与作者无关。

反射型XSS

实验目的

通过本实验,掌握挖掘XSS漏洞的方法以及根据XSS漏洞不同分类的特点,判断挖掘出来的XSS漏洞属于什么类型的。

实验环境

·操作机:Win10 用户名:Administrator 密码:Sangfor!7890

·靶机:Apache + PHP

·实验地址:http://ip/webug/pentest/test/9/

实验原理

在页面点击,找到URL中传参位置,构造Payload使其弹框,根据不同分类特点判断漏洞类型。

实验步骤

1、登录”Attack”操作机,打开浏览器,访问http://ip/webug/pentest/test/9/

2、页面没有任何信息,只有一个超链接,点击超链接,发现URL中有传参的位置

3、将URL中的参数值更改为“xss”,发现页面中的数据更改

4、将URL中的参数值更改为XSS验证的payload

页面弹框

5、点击“确定”,右击,查看页面源代码,发现提交的payload被写入页面中

6、返回网站页面,点击超链接,页面未弹框,需要重新提交payload,说明该网站的XSS漏洞是非持久性的,从而判断出该网站的XSS漏洞是反射型XSS

实验总结

通过本实验,掌握挖掘XSS漏洞的方法以及根据XSS漏洞不同分类的特点,判断挖掘出来的XSS漏洞是非持久性的,且提交的payload会写入页面中,属于反射型XSS。

更多学习资料点击头像关注公众号,后台私信回复666即可领取视频学习资料,赶紧来领取吧!!!

往期精选:

看完这个实操,分清XSS漏洞属于哪种类型!

赶紧自查,该文件可造成信息泄露!

看完这篇,轻松判断XSS的类型

多了不说,这个常见漏洞直接实操!

这种中间件特殊符号”/” 存在 漏洞

注意!这个中间件漏洞别忽视


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:建哥聊安全 建哥聊安全 建哥聊安全《刷新之后payload未留存即可判断》

新功能上线! 网络安全文章

新功能上线!

文章总结: 资产管理系统新上线IP与域名双向查询功能,可查询IP历史关联域名及域名解析过的IP记录,主要用于寻找CDN背后真实IP和定位IP归属。支持通过主域名
评论:0   参与:  0