我正在学习 XSS(出于道德目的),我想知道如何在不使用<script>标签。这是在
HTML 标签:
"The search term" <p> *JavaScript here* </p> "returned no results"
由于某种原因,脚本标签不起作用。
- 尝试放入带有特殊字符的不同类型的字符串,并查看其中是否有任何字符被编码或输出。 (我个人使用
'';!--"<XSS>=&{()})
- Now you have three options:
-
HTML 标签内: The
<>没关系,因为你已经在 HTML 标签内了。您可以查看此标签是否支持事件并使用某种onload=alert(1)或其他事件。如果<>是允许的,您可以突破并创建自己的标签'><img src=0 onerror=alert(1)>
-
HTML 标签之外: the
<>是重要的。有了这些,你可以打开一个新标签,整个世界就在你脚下(或者这样......)
-
JavaScript 内部:好吧...如果你能用以下方法打破一根绳子
'",那么你基本上可以写';alert(1)
- 根据您的编码字符和字符串输出位置的周围情况来制作 XSS
<XSS>完全消失:该应用程序使用某种strip_tags。如果您位于 HTML 标记之外并且没有 HTML 标记列入白名单,那么不幸的是,我不知道有什么方法可以实现 XSS。
制作您自己的有效负载
有多种方法可以实现这一目标,无法一一列举。
看看这两个网站,它们有很多构建你自己的方法和概念。
归结为:页面允许浏览什么。
- https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet#XSS_Locator_.28short.29 https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet#XSS_Locator_.28short.29
- https://html5sec.org/ https://html5sec.org/
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
