首页 xss-labs 正文

xss-labs level 5

管理员 2020-03-11 PM 264℃ 3条

1.懒得废话了,直接看源码

2.发现是对输出做了过滤,<script 和 on 会被插个下划线在中间,由于使用了strtolower()函数把所有字母转为小写,所以没法大小写绕过,但是javascript没有被限制,所以我们可以利用javascript伪协议把 javascript恶意代码植入到新建的一个标签内。比如a标签:

"><a href=javascript:alert('XSS')>click here !</a>

使用不同的标签可以实现不同的功能,比如我这里的a标签是生成一个超链接

当点击蓝色字体(超链接)时,会执行我们的恶意代码,如果是个url会直接跳转到url地址的位置。

标签: 伪协议插入

非特殊说明,本博所有文章均为博主原创。

上一篇 xss-labs level 4
下一篇 xss-labs level 6

评论啦~



已有 3 条评论


  1. XSS-labs练习笔记 – 0verflow's blog

    […] xss-labs level 5 […]

    回复 2020-03-11 16:59
  2. 1
    1

    1

    回复 2024-02-16 22:32
  3. 1
    1

    1

    回复 2024-02-16 22:51

栏目分类

博主动态 ~

标签云

报错注入 盲注 布尔型盲注 整数型注入 单引号闭合 单引号括号闭合 Kali_linux 组合字符闭合 文件头绕过 标签内添加属性 命令大全 写文件注入 user-agent注入 Http头Referer注入 cookie注入 双引号闭合 宽字节注入 post宽字节注入 延时注入 双写绕过 awvs安装 条件竞争 web mysql wrodpress Centos 乌云,渗透测试 php环境搭建 web服务 DNS服务器

友情链接申请

宁采陈博客0 宁采陈博客1 宁采陈博客2
© 2024 0verflow's blog.个人博客 Poweed by Typecho Theme by Echo