中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

xss注入方法及驗證方法

發布時間:2020-06-01 10:18:38 來源:網絡 閱讀:22956 作者:zhouanyafu 欄目:安全技術

注:本文描述的是一般情況的xss注入方法及驗證方法,并無覆蓋所有xss情況,

 

步驟1:在任一輸入框中輸入以下注入字符

>"'><script>alert(XSS)</script>

>"'><img src="javascript:alert(123456)">

1234<%00script>alert("123456")</script>

&{alert(123456)}

>%22%27><img%20src%3d%22javascript:alert(123456)%22>

[rm]"><img src=1 onerror=alert(document.cookie)>[/rm]

\u003cimg src=1 onerror=alert(/xss/)\u003e

\x20\x27onclick\x3dalert\x281\x29\x3b\x2f\x2f\x27

步驟2:提交成功后,在讀取參數的頁面查看頁面源碼,搜索剛輸入注入

即:在【A頁面】提交的,要在能查看A頁面提交的內容的【B頁面】搜索源碼才有效

如:在【A頁面】輸入框輸入   >"'><script>alert(123456)</script>,提交成功后,在【B頁面】搜索123456

步驟3:查看頁面源碼

 

情況1看到頁面源碼為

xss問題

xss注入方法及驗證方法

解析:頁面并沒將字符 “<” 轉義,瀏覽器會執行此代碼 ,此類屬于xss漏洞 


情況2看到源碼為 

xss注入方法及驗證方法xss問題

 

 

 

解析:頁面已將輸入的字符“<”轉義成“";”,此類沒有xss漏洞。

 

情況3頁面錯位

 

xss注入方法及驗證方法xss問題



 

 

 

解析:頁面并沒將字符 “<” 轉義,瀏覽器會執行此代碼 ,此類屬于xss漏洞 

 

情況4頁面有彈出框提示

 

xss注入方法及驗證方法xss問題


 

 

 

 

 

 

 

解析:頁面并沒將字符 “<” 轉義,瀏覽器會執行此代碼 ,此類屬于xss漏洞 

 

 

可以認為,所有沒有轉義字符“<”的都屬于存在xss注入漏洞。

 

ps.頁面源碼,并非審閱元素,兩者是有區別的

 


向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

上饶市| 云龙县| 延边| 东平县| 襄城县| 五常市| 石景山区| 台江县| 新余市| 游戏| 古田县| 阿坝| 芦溪县| 绥宁县| 洪洞县| 灵宝市| 信宜市| 沧州市| 时尚| 永宁县| 吕梁市| 鞍山市| 浦东新区| 潮州市| 清流县| 句容市| 门源| 阿拉善盟| 泰顺县| 阳原县| 自贡市| 东兴市| 湖州市| 华坪县| 邵东县| 林西县| 渝北区| 青河县| 禹州市| 英德市| 黔西县|