xss
文章平均质量分 82
欲不能为空
这个作者很懒,什么都没留下…
展开
-
XSS测试之编码绕过与浏览器解码机制
嘿嘿,我就是不写摘要,就是玩儿~原创 2022-03-15 21:36:39 · 6270 阅读 · 0 评论 -
XSS测试之绕过的根本逻辑
上一节讲了XSS的闭合,有些文章会将闭合同绕过混淆在一起讲。而在我看来,闭合是满足浏览器对脚本执行的基本语法要求,是基础;而绕过是在程序设有不太健全的安全措施下,所使用突破手段。 那么这个突破手段应该怎样进行呢? 常规脚本注入无果后,首先要猜测程序所使用的防御措施,然后判断改防御措施是否可能存在缺陷,然后更加...原创 2021-12-28 14:45:04 · 347 阅读 · 0 评论 -
XSS测试之闭合的正确使用方式
在测试XSS漏洞的时,不少同鞋会从大量Payload中随便挑选几个顺眼来尝试,没有弹窗就放弃了,这种方法并不是很科学,一些稍微隐秘点的XSS基本都能逃过这样的检查。下面我将从XSS的本质讲起,给各位分享一下我的XSS测试方法。 XSS属于注入类漏洞,其本质是:在前端代码中用户可以控制内容的地方(简称可控点),拼接上一段可被浏览器执行的新语句。这里可被浏览器执行是关键,不管你正在测试的点是否有漏洞,首先拼接上去的脚本同上下文看来,需要一定程度的符合前端代码的语法结构。 ...原创 2021-12-16 23:21:29 · 4808 阅读 · 0 评论