我正在学习 XSS 攻击和预防方法。现在我正在研究 XSS(DOM)。
如您所知,大多数浏览器会对从 URL 中获取的内容进行编码,以防止 javascript 注入(inject)。它会忽略诸如 <./之类的符号。 我读到绕过那种保护可以使用双重编码。
使用双重编码的例子:
www.xss/com/default=123%253Cscript%253Ealert('XSS')%253C%252Fscript%253E
它没有给我任何积极的结果。
您有什么建议或如何利用以下网址?
www.xss/com/ www.xss.com/default=123
最佳答案
你可以这样试试: www.xss.com/example1.php?name=alert('XSS Found');
www.xss.com/example1.php?id'=alert('发现 XSS');
可以是name, id.. 无所谓。
您还可以找到 xss 有效负载并在 BURP 中使用它们。只需下载有效载荷文件,然后使用 BURP 发出请求。向入侵者发送请求并选择负载文件。全部开始攻击。
关于javascript - 绕过 URL 编码(客户端)执行 XSS,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/47164386/