xss標籤和屬性爆破

2022-09-20 21:06:16 字數 1015 閱讀 5528

當**過濾了大部分的html標籤和屬性,我們就嘗試爆破一下,看哪些標籤和屬性沒有沒過濾。

1. 首先在測試點輸入我們正常的exp,並抓包傳送到intruder模組。

2. 將exp改為 ,以建立有效載荷位置。

3. 在xss備忘單中點選:copy tags to clipboard,點選paste貼上到intruder的payload位置。

4. 進行爆破。發現body標籤沒有被過濾。

5. 將有效載荷設定為:

6. 在xss備忘單中點選:將事件複製到貼上板,點選paste貼上到intruder的payload位置。

7. 進行攻擊。發現onresize屬性沒有被過濾。

8. 構造payload,在測試位置輸入,並用f12開啟除錯視窗時,就會彈窗。

因為onresize屬性就是視窗或框架被調整大小時觸發。

標籤和屬性

標籤是最基本也是最重要的東西,每當你想告訴計算機我想幹什麼的時候,都要通過標籤來實現 最重要的一點,標籤內不能用漢語,及漢語特有的符號 說到這就要提提 屬性 這個詞,通俗地講,屬性代表事物的特徵,和標籤一樣是最基本最重要的東西 每當你想改變乙個東西的時候,首先要考慮他的屬性 標籤和屬性都是最基本 標...

a標籤樣式 和 a標籤屬性寫法

a標籤樣式 總 a 表示所有狀態下的連線 如 mycls a a link 未訪問鏈結 如 mycls a link a visited 已訪問鏈結 如 mycls a visited a active 啟用時 鏈結獲得焦點時 鏈結的顏色 如 mycls a active a hover 滑鼠移到鏈...

DOM標籤屬性和物件屬性

dom元素的屬性分為兩種 1 標籤屬性 直接寫在標籤上的屬性 2 物件屬性 由於所有的dom元素都是object型別,所以我們可以通過物件的方式為dom元素設定屬性 1.標籤屬性 1 設定標籤屬性 elem.setattribute 屬性名,屬性值 注意 1 屬性名單詞之間通常用 連線,並且不使用駝...