在测试某个系统业务流程时,突然想到最近学到的xss知识,简单拿现有系统测试了一下。
1、输入script标签,提交数据,F12查看,前端传参
image.png
2、页面显示,用户提交的数据,页面未显示数据(script标签)
3、接口返回,执行成功
image.png
4、查看后台数据,空值
image.png
5、测试结果,简单来说,我们的开发同事是有安全意识防范的,起码他有做这个过滤机制,没有将参数写进数据库,提高系统的安全性。
目前,还处于个人学习的状态中,后续会加深安全测试的学习。
