[TOC]
概述
在提交xss代码的时候,程序员也在尽可能的规避自己的错误,会把一些特殊的字符给过滤掉,然后再输出出来。此时,攻击者需要通过不断的尝试各种输入输出比对来对过滤进行绕过。以达到xss的效果。
实训
以pikachu的xss过滤为例子,看下页面:
F12咱们看看效果代码:
观察到的几个问题
- 提交按钮并没有专门的js代码来处理过滤,应该是服务器端过滤。
- 输入的内容,在重复输入多个内容比对的情况下,的确会出现在箭头的位置。
- 如果直接上个alert的js代码,会如何?js代码被过滤掉。前前后后都被过滤的干干净净的。
开个脑洞
如果不用
若有收获,就点个赞吧
0 人点赞
