最近開始學習web安全工程師的課程 立面涉及到了xss的相關原理 爲了更好的學習其攻擊原理 在網上找到了相關的訓練平臺
源代碼下載:鏈接:https://pan.baidu.com/s/1n3huSSHsW7OOXc8QtNBX5g 提取碼:3yot
攻略:https://blog.csdn.net/qq_43531669/article/details/90347006
以下是關於相關注入點以及相關方法的記錄:
1.無過濾
2.閉合雙引號
3.對尖括號有過濾 使用οnclick=‘javascript:alert(1)’
4.on被屏蔽 改用<a href='java>
5.href被屏蔽 用大小寫繞過
6.完全被屏蔽 雙寫 sscriptcript
7.大小寫不管用 採用轉換十六進制的方式
https://www.qqxiuzi.cn/bianma/zifushiti.php
8.對輸入的網址不顯示 加入http://
9.沒有輸入點 type=hidden 查找注入點
10.構造referer實現攻擊 有變量爲HTTP_REFERER時使用
11.ng-include 包含帶有xss的頁面
12.%0d繞過空格檢測
13.onclick在flash時不好用 可以考慮onmouseover