0x00前言
因为ctf中xss的题目偏少(因为需要机器人在后台点选手的连接2333),所有写的比较少
0x01xss作用
常见的输出函数:print()、 print_r()、 echo、 printf()、 sprintf()、 die()、 var_dump()、 var_export()
xss是往页面中添加了一段代码,并且被浏览器执行了
反射型将恶意代码写入参数,或者自己服务器上搭个form表单传送,用来钓鱼
存储型就等着别人点这个网页就行了
0x02手段
xss主要出现的地方:文章发表,评论回复,留言,资料设置等
xss无非就是要对方的cookie,但是常常会有httponly导致cookie并不能传到xss平台,这是一种有效的防御方式
但是xss预防应该从本质出发,即对该页面用户输入不能被执行
xss触发方法
利用script标签执行js
字符串用" ' 包裹都行
采用on事件方法
on事件不用单引号或双引号也可以触发,但是必须闭合标签内的引号
=>点击就会触发 =>鼠标移动触发
能够使用on事件的标签
支持on click事件的标签有,
, , , , ,, , ,, ,
, , ,