例如邮箱修改信息时,正常情况下,由于前台js中正则表达式中不允许有不符合正则表达式的输入提交(例:@前面不允许有<>),那么此时该怎么绕过验证呢?
打开代理,点击Intercept is off开启抓包,在邮箱处输入正常的邮箱信息提交,在burp suite中,修改提交的邮箱信息,也可以嵌入代码,例如<image src=”” οnerrοr=alert(123)>;
点击Forward释放请求,(在后台没有对邮箱设置验证机制的前提下)就可提交成功,并且邮箱信息处会显示默认的小图标,提示框提示alert的内容。
实验完成后一定要关闭代理。
通过上面也印证了同时设置前后台验证机制的必要性。
