这篇文章会详细说明XSS的常用有效载荷指的是什么,文章内容质量很高,所以边肖会分享给大家作为参考,希望大家看完这篇文章有所了解。
环境:http://XSS-quick . int 21h . jp
一、阶段#1没有过滤xss漏洞
1.输入任意字符:123。
2.输入有效载荷:
第二,阶段#2属性中的xss漏洞
1.在窗口中输入有效载荷:
,检查review元素,并将有效负载写入标记中。
或' onmouseover=alert(document . domain)
三.阶段#3选择列表框中的xss漏洞
1.单击“搜索”获取包。
2.修改帖子数据并添加有效负载:
,发送到中继器,发送
第四,隐藏提交参数的xss漏洞
'
1.随便输入字符,搜索,抢包。
2.在隐藏参数后添加有效载荷并转发,以查看审阅元素。
3.关闭参数并重建有效负载:'
,合约出,成功弹出。
2.重构有效负载:“onmouseover=”警报(document.domain)
或者
3.成功弹出
6.以空格分隔的属性中存在xss漏洞
1.随意输入字符111 222 333。
3.构造有效载荷:111 onclick=alert(document . domain),成功弹出。
八、绕过过滤xss漏洞
1.输入有效负载:'
,查看元素,筛选域。
2.关闭有效载荷并修改100’
On事件,替换为onxxx
3.用伪协议加""绕过。
100个xss
10.使用IE功能绕过过滤,```可以关闭双引号,
“onmousemove=alert(document . domain)
仅适用于IE浏览器
XI。通过css功能绕过过滤,IE低版本
背景-color : # f00;background : URL(JavaScript : alert(document . domain)););
十三、十六进制旁路过滤
1.投入
2.重用unicode来构造payload:
\ \ u 003 script \ \ u 003 ealert(document . domain);\ \ u 003 c/脚本\\u003e
我希望在这里分享XSS通用有效载荷的含义。
内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/140992.html