XSS知识汇总

『xss如何加载远程js的一些tips』
http://www.freebuf.com/articles/web/24496.html
『打造一个自动检测页面是否存在XSS的插件(完结篇)』
http://www.freebuf.com/sectool/82743.html
『说一说新手在寻找XSS时所存在的一些误区』
http://www.freebuf.com/articles/web/6389.html
误区1: XSS,不是专门去“绕过”限制。
XSS是很好防御的,不就是过滤一下么,所以我们不要太多寄希望与程序员错误的过滤逻辑,而应该把希望寄托于程序员的“忘记过滤”上。

1.像评论框,个人资料这种,你所能想到的位置。稍微有一点安全意识的程序员也能想到,所以经常是被过滤掉的。
2.你所填入的资料,并不总是以HTML标签的形式,输出到页面上。所以有时候并不是不能X,只是因为你填入的东西不对。

看不见有两个层面

A) 输入看不见。 建议大家在提交请求的时候,使用抓包软件,然后对请求的参数逐个测试。
B)  输出看不见。 建议大家对返回的数据,也可以使用抓包软件抓取数据,然后对抓回的数据进行搜索,搜索你输入的数据,来定位看不见的输出。还有一种方式,在chrome中,可以搜索浏览器调试工具中的[resource]

http://www.freebuf.com/articles/web/6389.html
『心伤的胖子的乌云主页』
https://web.archive.org/web/20160401042439/http://www.wooyun.org/whitehats/%E5%BF%83%E4%BC%A4%E7%9A%84%E8%83%96%E5%AD%90
这里写图片描述
『gainover的乌云主页』
https://web.archive.org/web/20160401042439/http://www.wooyun.org/whitehats/%E5%BF%83%E4%BC%A4%E7%9A%84%E8%83%96%E5%AD%90
这里写图片描述
『心伤的瘦子』
这里写图片描述
http://www.wooyun.org/whitehats/%E5%BF%83%E4%BC%A4%E7%9A%84%E7%98%A6%E5%AD%90
这里写图片描述

http://cb.drops.wiki/search.php?kind=bugs&keywords=那些年我们一起学XSS
这里写图片描述

  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值