之前对带有"on"的都进行了过滤,增加了难度
首先选取一个对象我们去发消息
然后抓包,往里面填充我们的xss代码
本来这里就是一个标签过滤不好的问题,but,我们的乌云君直接把我提交的给二合一了。然后,然后我就捂烂了。可是细心的我们发现完全可以搞一个蠕虫。不过由于我下载的版本比较完了,官方的告诉我已经修补了。
·[php]
你测试的是 之前的版本是把script替换成script,最新的版本已经替换成scr-ipt了,应该已经无法执行了,你可以更新到最新版本试试。[/php]
好吧。。改天抽空写个xss 蠕虫来玩玩
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论