存储型XSS灰盒测试

1. 环境搭建
使用PhpStudy搭建 微社区程序——ROCBOSS在这里插入图片描述

2. 定向XSS挖掘
XSS漏洞可以存在于个人资料处,文章发表处或者留言评论处等等在这里插入图片描述

3. 黑名单审计
私信位置没有被实体化,可以进行XSS,但是被黑名单过滤。在这里插入图片描述

4. 绕过过滤,触发XSS
已知程序过滤了javascript,构造Payload。
“><details open οntοggle=eval(”\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x3aalert(‘xss’)")><"在这里插入图片描述

猜你喜欢

转载自blog.csdn.net/weixin_46370858/article/details/111636728