Web 输入类型隐藏跨站点脚本攻击
网站有Web 输入类型隐藏跨站点脚本攻击,web,xss,Web,Xss,网站有替换逻辑 所以我可以使用,,“…等等 我可以注射 <input type="hidden" value="$input"> 那么,如何在没有accesskey、style标记的情况下攻击xss呢?您需要提供更多关于注入代码的确切位置的信息,以及更多关于服务器或网站的信息。 由于您尚未提供此类信息,您可以尝试以下方法: 尝试添加属性, 尝试使用事件处理程序(onLoad()、onMouseOver()等) US-ASCII编码(Apache Tomcat)-您可以尝试:¼s
,,“
…等等
我可以注射
<input type="hidden" value="$input">
那么,如何在没有accesskey、style标记的情况下攻击xss呢?您需要提供更多关于注入代码的确切位置的信息,以及更多关于服务器或网站的信息。
由于您尚未提供此类信息,您可以尝试以下方法:
尝试添加属性,
尝试使用事件处理程序(onLoad()、onMouseOver()等)
US-ASCII编码(Apache Tomcat)-您可以尝试:¼script¾alert(、XSS)、¼/script¾
由于只有
被网站取代,请查看以下内容:
所有字符的可能组合“都被”和“替换为任何内容?如果不是,您不能添加任何想要的属性吗?
<
%3C
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
\x3c
\x3C
\u003c
\u003C