我可以用来测试页面输入的 XSS 示例?
2022-08-30 19:14:28
我在使用 XSS 时遇到问题。具体来说,我有一个单独的注入JS警报,显示我的输入有漏洞。我对XSS进行了研究并找到了一些例子,但由于某种原因,我无法让它们发挥作用。
我能否获得XSS的示例,我可以将其放入我的输入中,当我将其输出回用户时,会看到某种更改,例如警报以了解它易受攻击?
我正在使用PHP,我将实现htmlspecialchars(),但我首先尝试重现这些漏洞。
谢谢!
答案 1
你可以使用这个火狐插件:
XSS-Me 是用于测试反射式跨站点脚本 (XSS) 的 Exploit-Me 工具。它当前不测试存储的 XSS。
该工具的工作原理是提交 HTML 表单,并使用代表 XSS 攻击的字符串替换表单值。如果生成的 HTML 页面设置了特定的 JavaScript 值 (document.vulnerable=true),则该工具会将该页面标记为容易受到给定 XSS 字符串的攻击。该工具不会尝试损害给定系统的安全性。它寻找针对系统的攻击的可能入口点。该工具没有端口扫描,数据包嗅探,密码黑客攻击或防火墙攻击。
您可以将该工具完成的工作视为与站点的QA测试人员手动将所有这些字符串输入到表单字段中相同的工作。
答案 2
例如:
<script>alert("XSS")</script>
"><b>Bold</b>
'><u>Underlined</u>
推荐
-
-
-
java string.getBytes(“UTF-8”) javascript equivalent 我在java中有这个字符串: 我的印象是 unescape(encodeURIComponent()) 会正确地将字符串转换为 UTF-8。难道不是这样吗? 参考:
-
在 REST API 调用之前对 meta 进行 OPTIONS 调用 我试图理解这个系统是如何在引擎盖下工作的。该系统是基于非常标准的,我没有得到的客户端在每次API调用之前进行调用,并且XML内容以该格式返回。它使用泽西爪哇。 B.此调用是由浏览器自
-
使用 Java 进行 AES 加密,并使用 Javascript 进行解密 我正在制作一个应用程序,它需要基于Java的AES加密和基于JavaScript的解密。我使用以下代码进行加密作为基本形式。
标签
推荐