旁路XSS过滤器_Xss - Fatal编程技术网

旁路XSS过滤器

旁路XSS过滤器,xss,Xss,如何绕过XSS过滤器并在此页面上弹出警报：该脚本似乎在服务器端过滤单引号（'），使我无法将其注入值字段 <input type="text" name="name" value=''></input> 此页面是XSS测试系列的一部分，因此我确信可以以某种方式弹出警报，但我不知道如何弹出。我错了。还有其他表单字段可以插入以完成任务。输入名称并单击提交。表单是通过GET请求提交的，因此您可以在URL中看到这两个参数。这两者都反映在HTML响应中 name=海绵宝宝&

如何绕过XSS过滤器并在此页面上弹出警报：

该脚本似乎在服务器端过滤单引号（'），使我无法将其注入值字段

<input type="text" name="name" value=''></input>

此页面是XSS测试系列的一部分，因此我确信可以以某种方式弹出警报，但我不知道如何弹出。

我错了。还有其他表单字段可以插入以完成任务。

输入名称并单击提交。表单是通过GET请求提交的，因此您可以在URL中看到这两个参数。这两者都反映在HTML响应中

name=海绵宝宝&提交=

<font size=3>Enter Your Name here : <input type="text" name="name" value='spongebob'></input>
<input type="submit" name="submit" value="">

在此处输入您的姓名：

将焦点放在提交上，而不是名称参数。它包含在未过滤的双引号中。由于字符>已删除，因此无法关闭标记，因此必须在标记内部进行注入。>被剥去：

name=海绵宝宝提交=%22%3E%3Cscript%3Ealert（document.URL）%3C/脚本%3E

<input type="submit" name="submit" value=""<scriptalert(document.URL)</script">

focus%20onf>ocus=“警报（doc>ument.URL）

<input type="submit" name="submit" value="" autofocus onfocus="(document.URL)">