01 前言
前段时间在看Xss检测自动化,调研发现网上现在也已经有了很多的非常优秀的xss检测工具,自己就按照最简单的逻辑也写了点,大概的效果是这样的
这里注重的是实现思想,实际中的场景远比此复杂,后面有时间的话,我会在B站上分享下这个简单的教程
当时写了反射型和存储型的简单检测脚本,但是在反射中如果用工具来跑的话,xss会保存到数据库中,这样很不优雅。
02 力大砖飞
在早起的时候有师傅在先知上发了一个xss暴力的方法
链接:https://xz.aliyun.com/t/4985
总结一下就是:
直接在留言板或有存储的地方,将xss语句全部放进去,看看谁不正常
项目链接:https://github.com/TheKingOfDuck/easyXssPayload
核心文件截图:
效果演示:
大家可以自行前往下载,