力大砖飞-存储型Xss Fuzz手法

✎ 阅读须知

乌鸦安全的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。

乌鸦安全拥有对此文章的修改、删除和解释权限，如转载或传播此文章，需保证文章的完整性，未经授权，不得用于其他。

01 前言

前段时间在看Xss检测自动化，调研发现网上现在也已经有了很多的非常优秀的xss检测工具，自己就按照最简单的逻辑也写了点，大概的效果是这样的

这里注重的是实现思想，实际中的场景远比此复杂，后面有时间的话，我会在B站上分享下这个简单的教程

当时写了反射型和存储型的简单检测脚本，但是在反射中如果用工具来跑的话，xss会保存到数据库中，这样很不优雅。

02 力大砖飞

在早起的时候有师傅在先知上发了一个xss暴力的方法

链接：https://xz.aliyun.com/t/4985

总结一下就是：

直接在留言板或有存储的地方，将xss语句全部放进去，看看谁不正常

项目链接：https://github.com/TheKingOfDuck/easyXssPayload

核心文件截图：

效果演示：

大家可以自行前往下载，如果你网速不好，也可以在公众号后台回复： 力大砖飞 下载。

03 后话

一直感觉安全圈的戾气很重，在上述师傅先知文章的评论里面就看到这样的评论。

不仅在这里，freebuf等网站上都看到很多人嘲笑撰稿者，可能有些师傅技术确实很好，看不上这些阿猫阿狗，但是大家都是一步步走过来的，大家也应该互相体谅下彼此

先做人，再做技术