layout: post
title: 9. xss bypass
category: SRC
tags: SRC
keywords: SRC,XSS
前言
该篇记录为记录实际的src过程第9篇小文章,内容为某网站的xssbypass。
XSS特征
- href 会转成 href_
- on*属性基本被waf,包括之前提到的onPointerOver和Onwheel也被加入了规则
- src=*更是直接拦了。
xss绕过payload
这时候就想到了用form标签的formaction执行js
于是就有了<form><button/formaction=javascript:alert(21)>Test
后话
xxxxxx