![](https://img-blog.csdnimg.cn/20201014180756925.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
xss
CClarence
neverEnd
展开
-
常见的XSS攻击方法
(1)普通的XSS JavaScript注入 (2)IMG标签XSS使用JavaScript命令 (3)IMG标签无分号无引号 (4)IMG标签大小写不敏感 (5)HTML编码(必须有分号) (6)修正缺陷IMG标签 alert(“XSS”)”> (7)formCharCode标签(计算器) (8)UTF-8的Unicode编码(计算器) (9)7位的转载 2015-09-16 20:13:03 · 1830 阅读 · 0 评论 -
XSS quiz 1~5解题方案
第1题 第一题很简单,没做过滤,直接可A过 第二题 查询框中写123查看源码, 需要先闭合左边的input,所以“>即可 第三题 本题有过滤当输入“>时发现引号、尖括号都被过滤 <>” 分别变成了转义符,尝试Unicode编码也未见效: <为\u003c,>为\u003e,”为\u0022 后来看到页面有一个复选框,想到框内元素可以进行注入,于是抓包,p2参数后加上“>可通原创 2015-12-12 21:56:37 · 2425 阅读 · 0 评论 -
XSS quiz 6~10解题方案
第六题 本题转义了尖括号。并且根据Hint:event handle attributes,意思就是像input标签里进行添加事件,于是尝试通过不用尖括号的方式写入xss语句。 先用\u003c和\u003e来代替<和>,失败。 用” onmousemove=”alert(document.domain) 成功。 第七题 Hint,Hint: nearly the same… but a原创 2015-12-13 21:19:40 · 2322 阅读 · 0 评论 -
XSS quiz 11~16解题方案
第十一题 Hint: “s/script/xscript/ig;” and “s/on[a-z]+=/onxxx=/ig;” and “s/style=/stxxx=/ig;” 对关键字符串做了过滤 script变成了 “javascript:alert(document.domain)”变成了 ” onmousemove=”alert(document.domain)变成 看答案原创 2015-12-14 14:08:47 · 2384 阅读 · 0 评论