关于如何寻找xss漏洞并绕过限制

本文介绍了如何通过特定的Google搜索语法发现存在XSS漏洞的网页,并提供了几种绕过防御机制的方法,包括使用特殊编码、改变标签大小写及关闭标签等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

谷歌搜索:inurl:'product.asp?BigClassName',大量存在xss漏洞,这样找到的网址有一批存在注入漏洞,感兴趣的可以试试;

在浏览网站时,URL存在汉字或百分号时是有可能存在的,这时候,我们在其url上写入:<script>alert('xss')</script>

进行测试,当然大部分网站都会报错,这时,我们可以加上双引号试试:

<script>alert(''xss'')</script>


(嫌手工找xss太慢的可以用工具,这里我推介wvs,椰树也行)

这时我们需要一些绕过手段:

1.绕过magic_quotes_gpc(不懂得百度)

我们在火狐上的hackbar上进行转码,例如我们选中alert<'xss'>,在hackbar上选择xss,在选择string.fromcharcode


alert<'xss'>写入其中,得到


这时在将这段代码在url上写入,我们即可绕过xss限制;

2.hex编码:

我们把<script>alert('xss')</script>进行hex转码,可以继续用火狐或者网上在线转码,我使用的是御剑的hex转码功能,转码后再进行url写入,即可绕过限制;

3.改变大小写:

如把<script>alert('xss')</script>变为<ScriPt>alert('xSs')</scrIpt>,自己组合,有一定的效果;

4.关闭标签:

如><ScriPt>alert('xSs')</scrIpt>

查看其脚本源代码,有很多情况,关闭其标签即可成功绕过



评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Blood_Seeker

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值