以pikachu中xss反射为例子
注意
不可以直接输入script标签去识别,如过对方有waf会直接拉黑影响效率
一、测试
随机测试一组字母,查看页面源代码,如果在源代码内能找到输入的字母代表存在xss,如果找不到,很可能被实体编码,这样的话就xss漏不存在。
1.1随机输入一组字母
1.2打开页面源代码ctrl+f查询输入的内容
1.3输入内容存在,存在XSS
二、XSS反射(Get方式)
2.1在输入script标签时,输入框做了长度限制。
在开发者工具中修改长度限制,我这里改为200