溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
注:本文描述的是一般情況的xss注入方法及驗證方法,并無覆蓋所有xss情況,
步驟1:在任一輸入框中輸入以下注入字符
>"'><script>alert(XSS)</script>
>"'><img src="javascript:alert(123456)">
1234<%00script>alert("123456")</script>
&{alert(123456)}
>%22%27><img%20src%3d%22javascript:alert(123456)%22>
[rm]"><img src=1 onerror=alert(document.cookie)>[/rm]
\u003cimg src=1 onerror=alert(/xss/)\u003e
\x20\x27onclick\x3dalert\x281\x29\x3b\x2f\x2f\x27
步驟2:提交成功后,在讀取參數的頁面查看頁面源碼,搜索剛輸入注入
即:在【A頁面】提交的,要在能查看A頁面提交的內容的【B頁面】搜索源碼才有效
如:在【A頁面】輸入框輸入 >"'><script>alert(123456)</script>,提交成功后,在【B頁面】搜索“123456”
步驟3:查看頁面源碼
情況1:看到頁面源碼為
有xss問題
解析:頁面并沒將字符 “<” 轉義,瀏覽器會執行此代碼 ,此類屬于xss漏洞 。
情況2:看到源碼為
無xss問題
解析:頁面已將輸入的字符“<”轉義成“";”,此類沒有xss漏洞。
情況3:頁面錯位
有xss問題
解析:頁面并沒將字符 “<” 轉義,瀏覽器會執行此代碼 ,此類屬于xss漏洞 。
情況4:頁面有彈出框提示
有xss問題
解析:頁面并沒將字符 “<” 轉義,瀏覽器會執行此代碼 ,此類屬于xss漏洞 。
可以認為,所有沒有轉義字符“<”的都屬于存在xss注入漏洞。
ps.頁面源碼,并非審閱元素,兩者是有區別的
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
