这个不是XSS反射型漏洞吗？

背景

有人问了个问题：这个不是XSS反射型漏洞？为什么？

然后他发了个录屏给我看。

录屏主要内容是下面这样的：

正常在网站搜索什么，search接口就会返回搜索到的数据列表。

比如在网站中搜索"xss"，search接口就返回几条xss相关的数据。

他是这样做的：

他在网站中输入了"xss"，然后通过fiddler工具，把这个search接口的响应内容改了。

比如在其中的一条数据，嵌入了XSS攻击代码。

比如下面的代码：

<img src='x' onerror='alert(/ice/);'/>

然后他看到网站弹窗了，就觉得自己成功的找到了XSS漏洞，而且是反射型漏洞。

我说：其实，这个不是XSS反射型漏洞。

详情： https://mp.weixin.qq.com/s?__...

posted @ 2022-11-21 15:35 simonbaker 阅读(29) 评论(0) 收藏举报

刷新页面返回顶部