【发布时间】:2019-03-07 02:42:55
【问题描述】:
我正在对一个网站进行渗透测试,我试图通过其中一个输入参数执行存储的 xss 有效负载。应用程序在客户端进行了特殊情况验证,所以我在 Burp 中截获了请求,并在输入参数中添加了 %22(这是一个双引号 ")。
现在的问题是,当页面用我注入的双引号反映这个输入参数时,它看起来不像常规的双引号 (")。相反,它看起来像斜体。这就是它的方式现在在浏览器中看起来(”),但我希望它看起来像(”)
这里会发生什么?为什么我的双引号在反射回来时在浏览器中看起来像这样? 任何帮助表示赞赏。
谢谢
【问题讨论】:
标签: javascript xss penetration-testing