删减操作
进行一些删减
删减不能访问
使用单引号
继续填充垃圾数据
添加斜杆和垃圾数据没有绕过
但在后面添加#号成功绕过,目的是防止继续匹配,注释作用
\号和垃圾数据
\号在javascript中相当于结束标志,目的是让安全狗不匹配后面的数据
垃圾数据是干扰作用
更换提交方式
post提交绕过
使用网站识别的加密方式绕过
xssfuzz
http://xssfuzzer.com/fuzzer.html生成fuzz代码
fuzz字典
网上有字典
通过自己写脚本或者Burpsuite来进行字典发包
通过设置线程和攻击位置来进行测试
如果哪里需要特殊闭合,可以自己手动添加在进行测试
xsstrike工具
https://github.com/s0md3v/XSStrike
工具参数
使用