xss各種姿勢的學習(繞過)及重要總結
那麼這裡利用沒有過濾尖括號,構造a標籤再嘗試利用a標籤的href屬性執行javascript偽協議,payload:“>,沒有對javascript偽協議進行過濾,對其進行點選,觸發xss後臺原始碼分析對get提交的keyword引數...
那麼這裡利用沒有過濾尖括號,構造a標籤再嘗試利用a標籤的href屬性執行javascript偽協議,payload:“>,沒有對javascript偽協議進行過濾,對其進行點選,觸發xss後臺原始碼分析對get提交的keyword引數...
注意,這裡有個坑點,這個base64編碼後的字串填入atob中時,必須要去掉最後面的等於號,不然會失效可以看到還是成功了,說明這個payload是可用的為了防止360再攔,還是要做的周全一點,還有一個小技巧就是反引號其實可以用於代替括號使...