[web安全]黑客攻防技术宝典-浏览器实战篇--XSS Samy Worm

今天想了解一下书中介绍的Samy蠕虫病毒。
这是一个在24小时内感染了100多万MySpace用户的病毒,传播速度很快。

总结了下主要绕过的手段:

1.通过div的background:url参数执行初始的Javascript。
2.把代码储存到表达式,通过style属性运行指令,绕过单引号和双引号转义。
4.通过换行符绕过单词javascript的过滤。
5.使用String.fromCharCode(),把整数转成ASCII的方法插入单双引号。
6.合理利用eval函数,绕过一些关键词。

这是参考的文章,里面有源代码。
https://www.cnblogs.com/milantgh/p/3655070.html

你可能感兴趣的:(web安全)