今天本來在看乙個站,偶然發現存在xss漏洞,就留意了下url形式,然後谷歌一下,就不費什麼力氣的得到了大量存在xss漏洞的站點頁面,正好今天閒來無事,我也得給我的部落格寫點東西,不然又要被搜尋引擎懲罰了…
這裡,簡單說一下如何尋找xss漏洞,一般的,我在瀏覽**時,發現url中存在漢字或帶百分號的url編碼時,我就會在其後邊加上:
來測試該url是否存在xss漏洞,我說的這兩種情況分別如圖所示:
另外,在挖掘xss漏洞的時候,可能遇到這種情況:
這種情況是因為**掛了通用防注入程式,禁止提交單引號,我們這時只需要把測試語句中的單引號換成雙引號即可,即:
至於xss漏洞有多大用處,那就得看自己的本事了,至於轉非永續性xss為永續性xss什麼的,那就看個人思路了,這裡不多說。
另外,在我的部落格裡,有專門的xss漏洞收集發布文章,有興趣的可以去看一下,位址為:
再說一點小小的經驗,谷歌搜尋「inurl:'product.asp?bigclassname'」
出來的結果中,十個有八個都存在xss… …
end
如何測試XSS漏洞
黑盒手動測試 對於非富文字在輸入框中輸入特殊字元 提交 在提交後的頁面檢視源 根據關鍵字tiehua查詢源 中的tiehua前後的 是否已經被轉義成 apos 如果未被轉義說明這個輸入框存在xss漏洞的嫌疑 提交bug 對於富文字輸入框輸入 如果頁面有出現排版問題或者js錯誤說明這個輸入框存在xss...
如何在php中修補XSS漏洞
在php中修補xss漏洞,我們可以使用三個php函式。這些函式主要用於清除html標誌,這樣就沒辦法注入 了。使用更多的函式是htmlspecialchars 它可以將所有的 與 符號轉換成 與 其它可供選擇的函式還有htmlentities 它可以用相應的字元實體 entities 替換掉所有想要...
如何搞懂正規表示式,我來教你
1.什麼是正規表示式 簡單來說正規表示式就是一種去驗證你需要填寫的目標字串是否滿足一種特定格式的約束,你可以以此來限制目標字串。正規表示式的使用,可以通過簡單的辦法來實現強大的功能。下面先給出乙個簡單的示例 為匹配輸入字串的開始位置。0 9 匹配多個數字,0 9 匹配單個數字,匹配乙個或者多個。ab...