德斯软件资讯6月26日消息,作为sicklescan的功能模块,xssfork的主要开发目的是检测xss漏洞。 一般采用传统的xss探测工具 payload in response的方式,即在发送带payload的http请求后,通过检测响应包中payload的完整性来判断。这种方法有很多缺陷。 第一:dom类xsss不能准确检测 第二:库不能真正模拟浏览器,如requests 第三:网页js无法交互 如何解决?如果你能用浏览器代替这个模块,自动hook是最好的。幸运的是,我了解到phantomjs。当然,goog…