前景提要:
来到可能存在XSS的网页
先上漏扫工具扫一波
手工测试简单的XSS脚本,发现网站把"(" ,")" ,"<",">和"alert"等这些关键字都过滤掉了。
直接上XSStrike进行Fuzz测试。
最后测出来一大堆能用的payload
随便选了几个测试,成功弹窗!
总结:
工具虽好,但终究离不开手工测试,以后得多练习手工测试。
来到可能存在XSS的网页
先上漏扫工具扫一波
手工测试简单的XSS脚本,发现网站把"(" ,")" ,"<",">和"alert"等这些关键字都过滤掉了。
直接上XSStrike进行Fuzz测试。
最后测出来一大堆能用的payload
随便选了几个测试,成功弹窗!
总结:
工具虽好,但终究离不开手工测试,以后得多练习手工测试。