XSS进阶二
来源:互联网 发布:魏延被谁杀 知乎 编辑:程序博客网 时间:2024/05/16 05:37
实验来源:合天网安实验室
实例四、换一个角度,阳光依旧
关键代码:
分析:首先preg_match函数是php的正则表达式匹配函数,一旦从$_GET['name']中匹配到script这个字眼,i参数忽略大小写,die() 函数输出一条消息--errpr,并退出当前脚本,下面的代码就不会再执行,这样的话script标签是不能用的啦,只能用的只能是其他标签,XSS进阶一里面的最后一个例子的img标签试试,应该是可以的,因为可以绕过if语句啊,结果请看下面,可以吧
根据实例四的代码提示,下面哪种方式能成功: 【单选题】 题目已完成,2
实例五、限制了我的左手,我还有右手
关键代码:
分析:preg_match匹配alert,并忽略大小写,不过改为大写的话,函数也不能行的啦,这样alert函数就不行了吧,还有其他函数啊,如prompt(提示消息框),confirm(确认消息框)啊,具体看图:
confirm就是比alert多了个取消按钮
根据实例五的代码提示,下面哪种方式不能成功: 【单选题】 题目已完成,2
实例六、大胆去思考,小心去求证
关键代码:
分析:首先php将get获取到的值输出出来,那么就是$_GET['name']的值当做字符串复制给js的$a变量了,xss很常说的一个是什么标签闭合什么的,这里能不能语句闭合呢
我们看看源码
整理一下就是:
<script>var $a = "";alert("bye!");"";</script>这就是正常的js代码,不过最后一句(不过语法是没错的),在本地也测试了
当然这样会好理解一点
根据实例六的代码提示,下面哪种方式能成功: 【单选题】 题目已完成,2
0 0
- XSS进阶二
- XSS进阶一
- XSS进阶三
- xss进阶三
- XSS 专题二 XSS 提高
- (实验经验分享)web应用安全 > 实验七:XSS进阶二
- 关于XSS(二)
- XSS攻击(二)
- 二.前端安全之XSS
- escape.alf.nu XSS Challenges 8-15 之进阶的XSS
- xss攻击进阶篇---如何利用抓包工具Fiddler进行xss攻击
- XSS
- xss
- xss
- xss
- xss
- xss
- xss
- Qt点击按钮打开图片
- Mysql之查询、where、常用函数、having
- 面试题37_两个链表的第一个公共结点
- HDU 2524--矩形A + B【推理 && 水题】
- Prim算法和Kruskal算法构造最小生成树
- XSS进阶二
- target/action设计模式
- 过滤器和拦截器的区别
- 【西祠日志】【13】发了第一次工资,上传了点代码去git
- Web项目导入的时候,各种配置文件报错解决办法
- (九十九)桥接的介绍
- hihoCoder_#1123_好配对
- Mysql列数据类型
- QT_利用qt编写一个半自动的126邮箱注册机