今天我来教你如何寻找XSS漏洞,刷漏洞平台的可以试一下哦!

  • 内容
  • 相关
今天闲来无事给我的博客写点东西,不然又要被搜索引擎惩罚了…

简单说一下如何寻找XSS漏洞,浏览网站时发现URL中存在汉字或带百分号的URL编码时,我就会在其后边加上:

<script>alert('www.shungg.cn')</script>

来测试该URL是否存在XSS漏洞,我说的这两种情况分别如图所示:

第一种:


第二种:<script>alert("Shun`s Blog")</script>

挖掘XSS漏洞的时候,可能遇到设置非法字符[网站挂了通用防注入程序,禁止提交单引号,这时需要把单引号换成双引号即可]这种情况:



至于XSS漏洞有多大用处,那就得看自己的本事了,至于转非持久性XSS为持久性XSS什么的,那就看个人思路了,这里不多说。

再说一点小小的经验,利用谷歌搜索“inurl:'Product.asp?BigClassName'”

出来的结果中,十个有八个都存在XSS… …

今天就到这里吧!



本文标签:

版权声明:若无特殊注明,本文皆为《舜哥哥吖》原创,转载请保留文章出处。

本文链接:今天我来教你如何寻找XSS漏洞,刷漏洞平台的可以试一下哦! - http://www.shungg.cn/post/42

发表评论

电子邮件地址不会被公开。 必填项已用*标注