记一次对bookworm的渗透测试绕过csp

原文首发在先知社区https://xz.aliyun.com/t/14879概要初始知识枚举javascript基本代码编写sql注入学到知识csp绕过sql注入web程序漏洞信息收集端口扫描发现22和80开放因为网络原因我们要多扫描几次，有可能还要加-Pn参数上述域名和ip加入/etc/hosts文件Website - TCP 80Site/shop 提供书籍和价格shop/id 单击会出现一本书 的详细页面点击添加会让我们登录没有用户让我们注册一个测试xss edit note功能burp抓包无过滤但是有cspCSP 指的是内容安全策略（Content Security Policy），这是一种网络安全标准，旨在防止跨站脚本攻击（XSS）、数据注入攻击等常见的网络安全威胁。CSP 通过允许网站管理员定义哪些内容是可信的，从而限制可以在网页上执行的脚本和加载的资源Content-Security-Policy: The page’s settings blocked the loading of a resource at inline (“script-src”).由于页面的CSP规则，浏览器阻止 ………………………………