#利用标题:度假租金1.8-存储的跨站点脚本(XSS)
#日期: 30/06/2023
#利用作者:饼干
#vendor: gz脚本
#供应商HomePage: https://gzscripts.com/
#软件link: https://gzscripts.com/vacation-rental-website.html
#版本: 1.8
#测试在: Windows 10 Pro
#Impact:操纵网站的内容
##存储的XSS
-----------------------------------------------------------------------------------------
Post/vacationRentalWebsite/property/8/ad-has-principes/http/1.1
property_id=8Action=详细信息end_review=1 cleanliness=0%3b4.2comfort=0%3B4.2 location=0%3B4.2服务=0%3B4.2Sleep=0%3B4.2Price=0%3B4.2 username=[xss payload]
-----------------------------------------------------------------------------------------
发布参数“用户名”很容易受到XSS的影响
发布参数“标题”很容易受到XSS的影响
发布参数“评论”很容易受到XSS的影响
##复制步骤:
1。冲浪(作为访客) - 转到任何列出的属性
2。转到此路径上的[客户评论](http://website/property/[number1-9]/[ - 份- 普罗普蒂姓名]/#customerreviews)
3。在“用户名”中注入您的[XSS有效载荷]
4。在“标题”中注入您的[XSS有效载荷]
5。在“评论”中注入您的[XSS有效载荷]
6。提交
7。XSS在本地浏览器上触发
8。XSS将在访问者的浏览器上访问您[注入] XSS中的XSS有效载荷时,将在[评论页面]上发射XSS有效载荷。
Note:我认为管理小组缺少网站上的[评论]部分
必须在下一个更新中添加此功能[查看/编辑/删除]
#日期: 30/06/2023
#利用作者:饼干
#vendor: gz脚本
#供应商HomePage: https://gzscripts.com/
#软件link: https://gzscripts.com/vacation-rental-website.html
#版本: 1.8
#测试在: Windows 10 Pro
#Impact:操纵网站的内容
##存储的XSS
-----------------------------------------------------------------------------------------
Post/vacationRentalWebsite/property/8/ad-has-principes/http/1.1
property_id=8Action=详细信息end_review=1 cleanliness=0%3b4.2comfort=0%3B4.2 location=0%3B4.2服务=0%3B4.2Sleep=0%3B4.2Price=0%3B4.2 username=[xss payload]
-----------------------------------------------------------------------------------------
发布参数“用户名”很容易受到XSS的影响
发布参数“标题”很容易受到XSS的影响
发布参数“评论”很容易受到XSS的影响
##复制步骤:
1。冲浪(作为访客) - 转到任何列出的属性
2。转到此路径上的[客户评论](http://website/property/[number1-9]/[ - 份- 普罗普蒂姓名]/#customerreviews)
3。在“用户名”中注入您的[XSS有效载荷]
4。在“标题”中注入您的[XSS有效载荷]
5。在“评论”中注入您的[XSS有效载荷]
6。提交
7。XSS在本地浏览器上触发
8。XSS将在访问者的浏览器上访问您[注入] XSS中的XSS有效载荷时,将在[评论页面]上发射XSS有效载荷。
Note:我认为管理小组缺少网站上的[评论]部分
必须在下一个更新中添加此功能[查看/编辑/删除]