也是隐藏表单,有个t_ua的值是一个user-agent,很明显是可以进行user-agent插入恶意代码,进行xss攻击。直接抓下包,原先的user-agent修改后放行可以看到网页出现了我们植入的按钮点击后:
1.这一题跟前面的题型都不同,无论在username 跟 password 输入什么都会失败,但是前端却始终显示着你的IP地址。查看后端代码发现是对表单输入的参数进行了过滤$uname = check_input($_POST['uname']); $passwd = check_input($_POST['passwd']);2.这里我推测可以使用http头注入,关于http请求头的一些参...