yzcn

XSS攻击跨站脚本漏洞测试流程反射型xss（get）反射型xss（post）存储型xss实例：xss钓鱼DOM型xssDom型xss-xXss盲打Xss之过滤Xss之htmlspecialcharsXss之href输出Xss之js输出Xss常见防范措施 跨站脚本漏洞测试流程 在目标站点上找到输入点，比如查询接口，留言板等。 输入一组特殊字符+唯一标识符号，点击提交后，查看返回的源码，看是否有做对应的处理。 通过搜索定位到唯一字符，结合唯一字符前后语法确认是否可以进行构造执行js的条件（构造闭合）。

暴力破解漏洞测试流程 1、 确认登录接口的脆弱性 2、 对字典进行优化 技巧： 对目标站点进行注册，搞清楚站点的账号密码设置的机制 对系统后台进行爆破，优先使用admin、administrator、root这种概率比较高的账号进行测试，使用这些账号，如果返回密码错误，则可以确定账号。提高效率。 3、 工具自动化操作 基于表单的暴力破解 1、首先判断是否可使用暴力破解： 对登录页面的基本判断，该页面要求输入账号密码，登录失败时，返回账号密码不存在，进行抓包分析，可以发现传入后台进行效验的参数也只