XSS实战篇
来源:互联网 发布:手机如何连接电脑网络 编辑:程序博客网 时间:2024/04/30 11:40
.思路:
首先是对参数进行过滤猜测:
差了几个有特特征性的符号。发现今天这个站
1.对 "\,'"进行转义,
2.双引号进行过滤,
3.&地址符进行清空处理。
构造代码如下:
首先她对尖括号不过滤,但是有尖括号出现,就进行全部过滤。(F12自己看输出结果)
可以看到script变为我们熟悉的颜色,是不是很开心呢?
首先在a标签里,我们有两种思路:
1.闭合双引号,添加事件
2.闭合尖括号,添加标签
因为输入双引号会过滤,我就想到了可以利用转义字符绕过双引号过滤,
看来成功插入双引号。并成功“被闭合”
可成功执行我们插入的代码啦!
1.对 "\,'"进行转义,
2.双引号进行过滤,
3.&地址符进行清空处理。
构造代码如下:
首先她对尖括号不过滤,但是有尖括号出现,就进行全部过滤。(F12自己看输出结果)
可以看到script变为我们熟悉的颜色,是不是很开心呢?
首先在a标签里,我们有两种思路:
1.闭合双引号,添加事件
2.闭合尖括号,添加标签
因为输入双引号会过滤,我就想到了可以利用转义字符绕过双引号过滤,
看来成功插入双引号。并成功“被闭合”
可成功执行我们插入的代码啦!
<span style="font-size:14px;color:#000000;">'\"\<><button>111111111111111111111</button>//也可以这样<img src="" onerror=事件><body .....></span>
0 0
- XSS实战篇
- 实战xss、csrf
- XSS获取管理后台实战
- 反射型xss实战演示
- 反射型xss实战演示
- 【xss】dvwa平台下的实战
- spring boot实战之XSS过滤
- XSS
- xss
- xss
- xss
- xss
- xss
- xss
- XSS
- XSS
- XSS
- xss
- linux vlan configuration
- python爬虫1
- UML类图建模简介
- java学习路线图
- UITabView/UICollectionView 全选问题
- XSS实战篇
- Android Studio下开启手机无线调试
- JAVA枚举的作用与好处
- Java环境的搭建
- 让您的Xcode键字如飞
- [Cloud Computing]Mechanisms: Cloud Usage Monitor
- nodejs:Excel导出json
- C++匿名命名空间
- CodeForces 342C Cupboard and Balloons