首页 > 编程语言 > 详细

DVWA-14.2 JavaScript(JS攻击)-Medium

时间:2020-05-06 20:15:28      阅读:47      评论:0      收藏:0      [点我收藏+]

Medium Level

思路与Low级别是一样的,只是生成 token 的函数放到另外的 js 文件中了。

首先我们输入success,点击submit,页面返回“Invalid token.”

抓包发现,请求中的token值为空,所以我们需要构造正确的token。

技术分享图片

查看前端源代码,发现生成token的函数放到另外的 js 文件中了。

技术分享图片

这个JS文件打开后如下所示

技术分享图片

正常情况下,我们在控制台输入do_elsesomething("XX")即可返回token,但是不知道为啥,我的dvwa报错了。

技术分享图片

于是我上网找了一个JS在线运行工具,重新编辑了一下medium.js,得出了token值:XXsseccusXX

技术分享图片

将手工获得的token值带入原请求,返回成功。

技术分享图片

DVWA-14.2 JavaScript(JS攻击)-Medium

原文:https://www.cnblogs.com/zhengna/p/12794997.html

(0)
(0)
   
举报
评论 一句话评论(0
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!