今天闲来无事给我的博客写点东西,不然又要被搜索引擎惩罚了…
简单说一下如何寻找XSS漏洞,浏览网站时发现URL中存在汉字或带百分号的URL编码时,我就会在其后边加上:
来测试该URL是否存在XSS漏洞,我说的这两种情况分别如图所示:
第一种:
![](https://shung.oss-cn-beijing.aliyuncs.com/blog/20210309165624.png)
第二种:
挖掘XSS漏洞的时候,可能遇到设置非法字符[网站挂了通用防注入程序,禁止提交单引号,这时需要把单引号换成双引号即可]这种情况:
![](https://shung.oss-cn-beijing.aliyuncs.com/blog/20210309165637.png)
至于XSS漏洞有多大用处,那就得看自己的本事了,至于转非持久性XSS为持久性XSS什么的,那就看个人思路了,这里不多说。
再说一点小小的经验,利用谷歌搜索“inurl:'Product.asp?BigClassName'”
出来的结果中,十个有八个都存在XSS… …
今天就到这里吧!