首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. WEB安全
    3. 发新帖
[求助]小白求助,输入框输入xss攻击语句后,输入框直接弹出“请更换非法字符”,想绕过前端这个校验
发表于: 2019-3-6 16:45 43238

[求助]小白求助,输入框输入xss攻击语句后,输入框直接弹出“请更换非法字符”,想绕过前端这个校验

浩荡大魔王 活跃值
2019-3-6 16:45
43238
小白求助,输入框输入xss攻击语句后,输入框直接弹出“请更换非法字符”,burp拦截不到,所以字符校验是在客户端进行的对吧?
查看元素后想要修改调试器里的内容来的,发现无法修改。禁用js也试过了没啥用。
输入正常字符使用burp拦截后,找不到我输入的字符,以及名字。。
所以无解了,想问问各位大佬,怎样才能绕过这个本地的前端校验呢?

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (11)
Closer丶
雪    币: 3
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
2
网站是https协议?
2019-3-8 11:53
0
柴猫
雪    币: 0
活跃值: (26)
能力值: ( LV3,RANK:23 )
在线值:
发帖
回帖
粉丝
私信
3
正常字符burp也拦截不到,这个输入难道没有向服务器发送请求,全是本地操作?
2019-3-11 23:48
0
perfgao
雪    币: 843
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
4
输入正常内容,burp拦截后,再修改为攻击语句
2019-3-12 09:28
0
鹿衔草
雪    币: 414
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
1 . 抓包分析  看看参数是否上传
2 . 通读相关javascript代码  看看是哪里被拦截了
3 . 客户端都拦截了  基本就凉了
2019-3-24 18:24
0
King小刀
雪    币: 318
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
其实上面都有说明,这里整理一下:
你输入正常的既然可以抓到包,那么就表示验证是在前端,而你找不到输入的内容,可以看下是否进行了转码加密,如Base64,这些可以通过分析前端代码知道具体是哪个参数,还有一种可能是第一次并没有先上传字段,仔细看看抓包然后forward,如果有多个,那么自己筛选,就可以找到自己需要的参数值
2019-4-8 10:45
0
kamehameha
雪    币: 85
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
前端校验。。。这不是白给吗
2019-4-10 17:16
0
伤字号
雪    币: 131
活跃值: (415)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
私信
8
前端校验=没校验
2019-6-3 17:31
0
TENX
雪    币: 53
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
9
前段校验?改了就完了啊,就一裸体
2019-12-25 06:07
0
nws0507
雪    币: 2559
活跃值: (509)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
10
抓到了包 找不到字符 应该加密了  直接burp里提交xss啊  
2019-12-25 09:58
0
h1ppy4w
雪    币: 524
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
11
抓包应该看得到参数的位置吧?那就直接可以xss啦
2020-3-11 23:39
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回