当前位置: 首页 > news >正文

xss-labs1-8题

news 2025/7/20 7:55:59

一:

打开检查,将test直接放入h2的标签中,此时通过script绕过h2,构造payload并执行alert。

 

二:

打开检查,发现输入的123被放在input标签里面的value值。输入script函数后,并未闭合则加入单引号进行测试。

三:

打开检查,参数位置与2一样,输入2的代码。

发现参数均为value值,则闭合操作失效。

加入单引号进行测试失败,则现在不适用标签,可以使用onfocus事件进行触发。

四:

使用3的代码进行测试,代码并未闭合成功,将单引号变为双引号再次测试。

五:

先用script和obfocus进行测试,发现onfocus和script都被替换,此时就要考虑使用a标签href链接的应用,通过跳转到另一个页面绕过网页。构造payload运行,此时href并未被替换。

http://www.xdnf.cn/news/1148689.html

相关文章:

  • 浏览器渲染原理——计算属性和布局过程常考内容
  • 基于单片机病床呼叫系统/床位呼叫系统
  • ChatGPT Agent深度解析:告别单纯问答,一个指令搞定复杂任务?
  • 目标检测中的标签分配算法总结
  • 2021 RoboCom 世界机器人开发者大赛-本科组(初赛)解题报告 | 珂学家
  • RS485转Profibus网关助力涡街液体流量计与300PLC高效通讯
  • Python高级数据类型:字典(Dictionary)
  • 模型的评估与选择
  • 基于springboot的考研互助小程序
  • 408数据结构强化(自用)
  • Java中缓存的使用浅讲
  • 【Linux驱动-快速回顾】简单了解一下PinCtrl子系统:设备树如何被接解析与匹配
  • 标准文件和系统文件I/O
  • CSS篇——第一章 六十五项关键技能(上篇)
  • 配置华为交换机接口链路聚合-支持服务器多网卡Bind
  • 解决Maven版本不兼容问题的终极方案
  • 定时器中BDTR死区时间和刹车功能配置
  • 低代码平台ToolJet实战总结
  • Flutter基础(前端教程①③-单例)
  • java内存图
  • 【Linux服务器】-MySQL数据库参数调优
  • Ubuntu 22.04.3 LTS 安装 MySQL
  • Kubernetes常用命令总结
  • 【逻辑回归】MAP - Charting Student Math Misunderstandings
  • 自由学习记录(70)
  • 《汇编语言:基于X86处理器》第8章 高级过程(3)
  • Python 代码生成 LaTeX 数学公式:latexify 参数 parameters
  • 【C语言进阶】结构体
  • Linux常用指令大全
  • 力扣经典算法篇-26-长度最小的子数组(暴力求解法,左右指针法)