![](https://img-blog.csdnimg.cn/2b97b183db7d4ecb9e35fa1566b8738e.png?x-oss-process=image/resize,m_fixed,h_224,w_224)
xss代码审计基础
简单的xss代码审计
cat weirdo
这个作者很懒,什么都没留下…
展开
-
xss代码审计与注入方法(4)
对alert过滤绕过 0x00 简单看下php代码,对alert进行了过滤包括其大小写 <?php require_once '../header.php'; if (preg_match('/alert/i', $_GET["name"])) { die("error"); } ?> Hello <?php echo $_GET["name"]; ?> 0x01 可以使用类似alert的方法来弹窗比如confirm,prompt <scri..原创 2021-10-10 15:53:44 · 144 阅读 · 0 评论 -
xss代码审计与注入方法(3)
onchange和onclick注入 0x00 简单看下php代码 <?php ini_set("display_errors", 0); $str = $_GET["keyword"]; echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>"."<center> <form action=level3.php method=GET> <input nam.原创 2021-10-10 14:48:52 · 63 阅读 · 0 评论 -
xss代码审计与注入方法(1)
xss基础注入 0x00 当一个网站的代码中包含类似下面的语句。没有进行防护 <?php echo $_GET["name"]; ?> 0x01 用户名设为<script>alert(/xss/)</script>,则会执行预设好的JavaScript代码。 0x02 漏洞成因: 将不可信数据插入到HTML标签之间时;// 例如div, p, td; 0x03 xss部分位于在于输入框,输入...原创 2021-10-10 13:46:39 · 100 阅读 · 0 评论 -
xss代码审计与注入方法(2)
xss基础大小写转换注入 0x00 XSS漏洞也叫跨站脚本攻击,是Web漏洞中最常见的漏洞,原理与SQL注入相似,通过来自外部的输入直接在浏览器端触发。XSS漏洞通常被入侵者用来窃取Cookie等,本文以代码审计的形式研究XSS攻击原理、挖掘形式、防御方案及缺陷 0x01 下面一段代码: <?php $name = $_GET["name"]; $name = preg_replace("/<script>/","", $name); $name = preg原创 2021-10-08 21:24:35 · 213 阅读 · 0 评论