我正在学习XSS攻击和预防方法。现在我正在搞清楚XSS(DOM)。
您可能知道大多数浏览器都会编码从URL中获取的内容,以防止javascript注入。它忽略了诸如< ./之类的符号。 我阅读绕过那种保护可以使用双重编码。
使用双重编码的示例:
www.xss / COM /默认= 123%253Cscript%253Ealert(' XSS')%253℃%252Fscript%253E
它没有给我任何积极的结果。
您会建议什么,或者您将如何利用以下网址?
www.xss / com / www.xss.com/default=123
答案 0 :(得分:1)
您可以尝试这样: www.xss.com/example1.php?name=alert('XSS Found');
www.xss.com/example1.php?id' ;=alert(' XSS Found');
它可以是name,id ..无所谓。
您还可以找到xss有效负载并在BURP中使用它们。只需下载有效负载文件,然后使用BURP发出请求。将请求发送到入侵者并选择有效负载文件。毕竟开始攻击。