常规WAF绕过思路
标签语法替换
特殊符号干扰
提交方式更改
垃圾数据溢出
加密解密算法
结合其他漏洞绕过
xssfuzzer.com可以自动生成语句
自动化工具说明
xssstrike主要特点反射和dom xss扫描
多线程爬虫,context分析,可配置核心,检测和规避waf,老旧的js库扫描,只能payload生成器,手工制作HTML和js解析器
https://github.com/s0md3v/XSStrike
安全修复方案
开启httponly
输入输出过滤等等
php相关:www.zuimoge.com/212.html
java相关:www.cnblogs.com/bianxiansheng/p/9001522.html