跨站脚本攻击(xss)姿势

Posted 逆向小白

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了跨站脚本攻击(xss)姿势相关的知识,希望对你有一定的参考价值。

测试目标字段:页面下方的红色框位置

由于编辑状态是编辑器,所以有可能出现跨站!

 我插了个input然而并没有当代码执行

可能有些测试人员就认为被过滤掉了,因为尝试了各种尖括号、js事件、转义、编码等,都是原样输出,估计不少人放弃了……

 我抓了下包看看

 发现,无论输入什么,都被自动加在段落标签<p>内!!所以你无论你写什么,程序都是当文本执行,那怎么办呢?

下一步,就想如何跳出这个<p>标签了,输入闭合是没什么卵用了,因为只当文本执行。

重点:既然抓包看到了,就直接试试抓包跳过<p>标签!

提交数据包看看回显如何!

 

成功将输入当代码执行

有人问为毛你测跨站用input的,(个人习惯)我只是比较懒,懒得打那么多字,换一下也没差,都是成功将用户输入当做代码执行!

 

 

 希望给各位大佬提供了新思路~~

有任何错误,欢迎指出,互相学习,谢谢收看!

 

以上是关于跨站脚本攻击(xss)姿势的主要内容,如果未能解决你的问题,请参考以下文章

独家分享:跨站脚本攻击XSS详解

独家分享:跨站脚本攻击XSS详解

独家分享:跨站脚本攻击XSS详解

初窥XSS跨站脚本攻击

跨站脚本攻击(XSS)

Web安全——跨站脚本攻击XSS