1,利用xss跳转网页 alert(window.location.href='http://www.sjtu.edu.cn')
2,弹出cookie alert(document.cookie)
2,可以试着对xss poc代码进行url编码再利用
3,闭合相应的标签;可以试着用“+”替代空格
4,cookie中有&等字符会分割cookie以至于打不到完整cookie这时可以用 escape(document.cookie)
经典POC
检测:
利用:
技巧:
1. 过滤了script标签 :
2. hidden下隐藏表单触发事件弹窗
firefox下按 shift+alt+h 触发
3. script隐藏绕过弹窗
4. 小括号过滤绕过弹窗
5. 闭合url跳转,绕过alert检测
www.baidu.com";prompt(111);//
6. asp.net开发网站
使用asp.net开发的网站,测试xss的时候可以采用:
使用unicode编码即可绕过,例如
原理:asp.net下会对程序进行最佳映射,然后会对unicode进行自动解码,最佳映射的时候payload会被执行。