反射型XSS笔记

1、标签内属性(事件)

  用于双引号没被过滤,而<>被过滤的情况

# 当鼠标悬浮于该标签时,触发此事件
onmouseover=
# 当鼠标聚焦在标签内,触发此事件
οnfοcus=
# 当鼠标单击在标签时,触发此事件
οnclick=

2、隐藏标签

  当隐藏标签输入标签内属性,无法被触发,需要适应标签外事件,例如:

3、常规思想总结

1、测试屏蔽了哪些特殊字符,常用的特殊字符
    ",<,>,(,)
2、选择没被过滤的方式,注入XSS

转载于:https://www.cnblogs.com/smartmsl/p/11103535.html

你可能感兴趣的:(反射型XSS笔记)