xss的内容也需要确定使用xray现有的xss模块检测后无检出后再进行提交

与其他类型的poc类似,xss的poc必然有一条内容是关于使用xss注入的。那么

  • 在关于xss注入的rule中
    1. 关于注入的语句
      • 要求访问内容无危害,不可写入真正窃取用户cookie等内容的语句
      • 正确地进行URL编码,保证注入的语句是通用的
    2. 关于匹配的内容
      • 可以直接匹配我们传入的拼接语句,但是也一定要匹配系统中其他的特征内容,保证规则整体是较强的

同时xss注入也不是全无危害,注意对于存储型xss这种会一直存储在对方服务器中的方式,这里并不会进行收取,因为我们首先需要保证的就是对目标服务器无危害