XSS
changetjut
好,呵呵,好...
展开
-
Unicode转义的特性
在浏览器支持的tkwk \u0061lert(1);原创 2014-11-09 21:16:59 · 1366 阅读 · 0 评论 -
Hidden属性的input标签中XSS的触发方法
今天看到一个XSS漏洞,插入点在一个有hidden 属性的input 标签,大致情况如下:<input type="hidden" name="returnurl" value="[USER INJECT]" />正常情况下的XSS应当是: http://victim/?value=” onclick=”alert(document.domain) 但是这里由于该input 未在页面中显示,常用原创 2016-03-31 11:24:30 · 17727 阅读 · 1 评论