xss
CClarence
neverEnd
展开
-
常见的XSS攻击方法
(1)普通的XSS JavaScript注入(2)IMG标签XSS使用JavaScript命令(3)IMG标签无分号无引号(4)IMG标签大小写不敏感(5)HTML编码(必须有分号)(6)修正缺陷IMG标签alert(“XSS”)”>(7)formCharCode标签(计算器)(8)UTF-8的Unicode编码(计算器)(9)7位的转载 2015-09-16 20:13:03 · 1798 阅读 · 0 评论 -
XSS quiz 1~5解题方案
第1题 第一题很简单,没做过滤,直接可A过 第二题 查询框中写123查看源码, 需要先闭合左边的input,所以“>即可 第三题 本题有过滤当输入“>时发现引号、尖括号都被过滤 <>” 分别变成了转义符,尝试Unicode编码也未见效: <为\u003c,>为\u003e,”为\u0022 后来看到页面有一个复选框,想到框内元素可以进行注入,于是抓包,p2参数后加上“>可通原创 2015-12-12 21:56:37 · 2415 阅读 · 0 评论 -
XSS quiz 6~10解题方案
第六题 本题转义了尖括号。并且根据Hint:event handle attributes,意思就是像input标签里进行添加事件,于是尝试通过不用尖括号的方式写入xss语句。 先用\u003c和\u003e来代替<和>,失败。 用” onmousemove=”alert(document.domain) 成功。 第七题 Hint,Hint: nearly the same… but a原创 2015-12-13 21:19:40 · 2308 阅读 · 0 评论 -
XSS quiz 11~16解题方案
第十一题 Hint: “s/script/xscript/ig;” and “s/on[a-z]+=/onxxx=/ig;” and “s/style=/stxxx=/ig;” 对关键字符串做了过滤 script变成了 “javascript:alert(document.domain)”变成了 ” onmousemove=”alert(document.domain)变成 看答案原创 2015-12-14 14:08:47 · 2375 阅读 · 0 评论