baijia靶场漏洞挖掘

打开靶场http://localhost:83/baijiacms/

baijia靶场漏洞挖掘_第1张图片

1、任意用户注册

点击个人中心>用户登录>免费注册,注入账号密码,抓包

baijia靶场漏洞挖掘_第2张图片

baijia靶场漏洞挖掘_第3张图片

baijia靶场漏洞挖掘_第4张图片

批量注册

baijia靶场漏洞挖掘_第5张图片

这个是已注册的用户返回。

baijia靶场漏洞挖掘_第6张图片

这个是未注册的用户,通过批量注册可以探测到系统已有用户

2、XSS漏洞

打开我的地址,输入信息点击提交

baijia靶场漏洞挖掘_第7张图片

点击保存,有弹框

baijia靶场漏洞挖掘_第8张图片

baijia靶场漏洞挖掘_第9张图片

你可能感兴趣的:(安全,web安全)