XSS漏洞(四)
一、XSS进阶实战
1、实验1:dom型xss漏洞挖掘
document.getElementById("dom").innerHTML = "+xss+"'>就让往事都随风,都随风吧";
拼接字符改变 dom 的 html,发现是 a 标签 所以可以使用 javascript:alert(/xss/)
2、实验2:反射型xss漏洞
输入测试语句发现发现连接文字是过滤的,但是 url 部分没有过滤。
3、实验3:xss之href输出
输入测试语句发现herf语句没有过滤。
4、实验4:xss之js输出
输出测试语句,发现未对$ms进行过滤。
构造语句:';alert('xss')// 单引号闭合前面 //注释后面字符
本文来自互联网用户投稿,文章观点仅代表作者本人,不代表本站立场,不承担相关法律责任。如若转载,请注明出处。 如若内容造成侵权/违法违规/事实不符,请点击【内容举报】进行投诉反馈!