利用CSS特性绕过XSS过滤
1. XSS漏洞发现
构造特殊无害字符串,响应中寻找字符串。
2. 基本XSS利用
1、HTML事件触发XSS
2、闭合input,利用外部标签触发XSS
3. XSS特性讲解
background:url(“javascript:alert(document.domain);”); 设置背景颜色
设置background:url ,利用javascript伪协议执行js。 目前IE浏览器支持,其他浏览器已经不再支持。
4. Payload触发XSS
Payload: background-color:#f00;background:url(“javascript:alert(document.domain);”);