关于安全性,我有一个收到的有效负载示例:
#inner-tab"><script>alert(1)</script>
site=www.exa'ping&20-c%2010%20localhost'mple.com
item=widget’;waitfor%20delay%20'00:00:20';--
logfile=%2fetct2fpasswd
这是什么问题或漏洞?
有效负载是URL编码的。这是使用javascript decodeURIComponent
函数解码的实际文本
decodeURIComponent("www.exa'ping&20-c%2010%20localhost'mple.com")
"www.exa'ping&20-c 10 localhost'mple.com"
decodeURIComponent("widget’;waitfor%20delay%20'00:00:20';--")
"widget’;waitfor delay '00:00:20';--"
decodeURIComponent("logfile=%2fetct2fpasswd")
"logfile=/etct2fpasswd"
这似乎是代码注入。
使用Web服务器中的解析器和验证器在主机中执行代码。