【Web安全】浅谈缓存XSS漏洞

本文中利用缓存XSS漏洞所使用的是curl，在开始之前我先简单介绍一下curl及使用方法。

curl是一个利用URL规则在命令行下工作的文件传输工具。它支持文件的上传和下载，所以是综合传输工具。作为一款强力工具，curl支持包括HTTP、HTTPS、ftp等众多协议，还支持POST、cookies、认证、从指定偏移处下载部分文件、用户代理字符串、限速、文件大小、进度条等特征。对于网页处理流程和数据检索自动化，curl有很强的处理能力。

文中使用的命令:

-iH
-i/–include 输出时包括protocol头信息
-H/–header <line> 自定义头信息传递给服务器

使用方法：

curl -iH "你想包含的header信息" 目标地址

文中使用的程序，代码为：

<?phpecho json_encode(getallheaders());//php7.3才可正常运行

或者可以使用已经搭好的靶场，正常的响应：

关于更多XSS漏洞的知识，欢迎大家来Web安全入门班进行全面系统的学习。课程以漏洞为核心，从Web应用架构、漏洞原理，利用方式与防御方法等，多方面剖析Web应用安全相关知识，并以此为基础学习渗透测试的操作流程及各阶段工作内容，熟悉渗透测试工具的使用。

2、学习方式

通过在线视频学习资源，结合实验练习，带你全方位学习Web安全。上课期间助教老师实时在互动区进行沟通答疑，若脱离上课时间可在班级内老师答疑模块中进行问题咨询留言。

3、课程体系

基础环境搭建模块；

常见Web漏洞模块；

渗透测试基本流程模块；

渗透测试报告编写模块。

4、课程优势

• 低门槛、易学习；
  

  
  

• 知识点配套实验；
  

  
  

• 助教老师答疑。
  

入门班学完后，如若还想进一步提升技能，可以选择提高班。

线上提高班课程是线上入门班的进阶课程，专为参加过线上入门班课程和已经有Web安全技术基础的相关专业学生、信息安全爱好者与开发人员而设计。

原价：5888元

特惠：3588元

快速报名入口

线上培训课程优势：学习时间灵活，随时随地都能学习，还可以反复看课，学习过程中的疑惑可随时请教，少走很多弯路。

课程以漏洞实战应用为核心，Web漏洞高级利用方式及防御方法、非常规漏洞、Python安全编程等多方面剖析Web应用安全的实战技术，以此为基础，丰富的线上实验练习提升实战技能，掌握Web渗透和安全脚本编写能力。

课程在讲解Web安全的同时，也讲解了内网安全的知识点，从外到内对渗透测试形成一个总体的认识。

2、课程体系

工具使用详解模块；

漏洞高级利用技巧模块；

PHP代码审计模块；

Python安全编程模块；

权限提升模块；

漏洞防御模块。

3、课程优势

• 衔接入门班课程，渗透技术进阶实战内容；

  
  

• 知识点配套教学实验与练习实验，增强动手能力；

  
  

• 代码审计与安全脚本编程，加强拓展能力。

通过以上内容的介绍，如果还有其他疑问，欢迎大家前来咨询，我们会有更专业的老师为你讲解，给你答疑解惑。

咨询快速入口

目前 Web 安全岗位的平均薪资大概在 15k+：

End

热门回顾

/培训

渗透测试工程师就业班

/热点

揭秘诈骗金额高达数亿骗局

i春秋官方公众号为大家提供

前沿的网络安全技术

简单易懂的实用工具

紧张刺激的安全竞赛

还有网络安全大讲堂

更多技能等你来解锁