2-Web安全——浅谈XSS漏洞绕过之XSS挑战通关

目录

1. 绕过input标签

2. input框onclick事件绕过

3. 白名单绕过

4. href属性绕过

5. 双写法绕过

6. html实体编码

7. 注释符号绕过


 

上一篇通过一个小案例了解了XSS漏洞的基本原理,危害程度以及漏洞产生的原因,本篇将通过一个示例来了解XSS漏洞的利用思路和绕过方法。

 

1. 绕过input标签

2-Web安全——浅谈XSS漏洞绕过之XSS挑战通关_第1张图片

直接在搜索框中插入js代码,后台完全把我们输入的代码用引号括起来当做字符串处理了,在绕过过程中需要把引号闭合掉,插入js代码绕过input框,最终构造的代码如下:

">"

前面的双引号和尖括号是为了把之前的">符号闭合掉,从而使插入的js代码绕过input框。

 

测试结果:

2-Web安全——浅谈XSS漏洞绕过之XSS挑战通关_第2张图片

js代码最终成功绕过input框

 

 

2. input框onclick事件绕过

后台对输入的

你可能感兴趣的:(网络安全)