前言:
函数
内容:
找到xss的前提条件为:需要有输入和输出(小迪讲的),什么意思?
就是说需要向服务器输入xss语句,同时服务器也需要返回数据,直接返回给浏览器了,然后浏览器直接执行了xss的payload
根据前面学过的知识,大概了解了xss的触发条件为,由于浏览器执行了含有xss的payload的恶意的代码,
为什么会存在浏览器会弹窗?
由于浏览器和服务器没有对输入和输出进行过滤,
如何寻找捏?
就是大多数是在url上的参数,
很常见的一种就是有输入框的地方,然后参数会在url参数上,传给浏览器,
其他的情形,就是输入的参数在bp的是例如content字段,或者是post型xss,这种也是有可能的
防护分为两种,(今天看的3.19)
前端防护和后端防护,
前端,直接拦截修改参数
后端防护,
看不到后端防护的代码规则,不好进行过滤