mypassword专题

BUU [GWCTF 2019]mypassword

BUU [GWCTF 2019]mypassword 开题,是个登录界面,也有注册功能 首先我们注册个号看看。然后登录 提示不是SQL注入 有反馈界面,反馈应该管理员会看,可能存在XSS。 查看源码,注释给出了后端源码,对XSS进行了过滤,那就是XSS漏洞了。 根据源码,waf工作原理是把匹配到的危险字符串替换为空,这里看似用来while,可以防止双写等绕过手法,但是存

[BUUCTF][GWCTF 2019]mypassword

首先从登陆界面看到了提示 发现了一串js代码,这段话是什么意思很easy了 if (document.cookie && document.cookie != '') {var cookies = document.cookie.split('; ');var cookie = {};for (var i = 0; i < cookies.length; i++) {var arr = coo