XSS攻防进阶:从基础绕过到高级利用
去年在做某电商平台的安全测试时,我发现了一个有趣的XSS漏洞。当时觉得这个案例挺有代表性的,今天整理出来和大家分享一下XSS攻防的一些经验,希望对做安全测试的同学有所帮助。绕过过滤器的几种常见思路大小写混淆很多开发在做输入过滤时,只简单地过滤了<script>标签,这时候就可以尝试大小写
Hi,Friend
寻门而入,破门而出
寻门而入,破门而出
去年在做某电商平台的安全测试时,我发现了一个有趣的XSS漏洞。当时觉得这个案例挺有代表性的,今天整理出来和大家分享一下XSS攻防的一些经验,希望对做安全测试的同学有所帮助。绕过过滤器的几种常见思路大小写混淆很多开发在做输入过滤时,只简单地过滤了<script>标签,这时候就可以尝试大小写
Hi,Friend