力大砖飞-存储型Xss Fuzz手法

简介: 力大砖飞-存储型Xss Fuzz手法

01 前言


前段时间在看Xss检测自动化,调研发现网上现在也已经有了很多的非常优秀的xss检测工具,自己就按照最简单的逻辑也写了点,大概的效果是这样的




这里注重的是实现思想,实际中的场景远比此复杂,后面有时间的话,我会在B站上分享下这个简单的教程


当时写了反射型和存储型的简单检测脚本,但是在反射中如果用工具来跑的话,xss会保存到数据库中,这样很不优雅。


02 力大砖飞


在早起的时候有师傅在先知上发了一个xss暴力的方法

链接:https://xz.aliyun.com/t/4985

总结一下就是:


直接在留言板或有存储的地方,将xss语句全部放进去,看看谁不正常

项目链接:https://github.com/TheKingOfDuck/easyXssPayload

核心文件截图:



效果演示:



大家可以自行前往下载,

相关文章
|
1月前
|
存储 前端开发 JavaScript
存储型 XSS 攻击演示(附链接)
存储型 XSS 攻击演示(附链接)
65 0
|
11月前
|
存储 PHP
PHP审计-存储XSS挖掘
PHP审计-存储XSS挖掘
PHP审计-存储XSS挖掘
|
11月前
|
存储 SQL 监控
某xxphp网站后台存储型XSS漏洞分析
某xxphp网站后台存储型XSS漏洞分析
|
存储 安全 JavaScript
gitlab漏洞系列-存在于markdown中的存储型XSS
背景 复现步骤 影响 绕过csp示例 后续
140 0
|
存储 安全 前端开发
gitlab漏洞系列-RDoc wiki页面中的存储型XSS
背景 复现步骤 gitlab漏洞系列-RDoc wiki页面中的存储型XSS
118 0
gitlab漏洞系列-RDoc wiki页面中的存储型XSS
|
存储 安全 数据安全/隐私保护
|
Web App开发 存储 测试技术
|
28天前
|
JavaScript 安全 前端开发
js开发:请解释什么是XSS攻击和CSRF攻击,并说明如何防范这些攻击。
XSS和CSRF是两种常见的Web安全威胁。XSS攻击通过注入恶意脚本盗取用户信息或控制账户,防范措施包括输入验证、内容编码、HTTPOnly Cookie和CSP。CSRF攻击则诱使用户执行未经授权操作,防范手段有CSRF Tokens、双重验证、Referer检查和SameSite Cookie属性。开发者应采取这些防御措施并定期进行安全审计以增强应用安全性。
19 0