今天闲来无事给我的博客写点东西,不然又要被搜索引擎惩罚了…

简单说一下如何寻找XSS漏洞,浏览网站时发现URL中存在汉字或带百分号的URL编码时,我就会在其后边加上:

来测试该URL是否存在XSS漏洞,我说的这两种情况分别如图所示:

第一种:

![](https://shung.oss-cn-beijing.aliyuncs.com/blog/20210309165624.png)

第二种:

挖掘XSS漏洞的时候,可能遇到设置非法字符[网站挂了通用防注入程序,禁止提交单引号,这时需要把单引号换成双引号即可]这种情况:

![](https://shung.oss-cn-beijing.aliyuncs.com/blog/20210309165637.png)

至于XSS漏洞有多大用处,那就得看自己的本事了,至于转非持久性XSS为持久性XSS什么的,那就看个人思路了,这里不多说。

再说一点小小的经验,利用谷歌搜索“inurl:'Product.asp?BigClassName'”

出来的结果中,十个有八个都存在XSS… …

今天就到这里吧!

最后修改:2021 年 03 月 09 日
如果觉得我的文章对你有用,请随意赞赏