We read every piece of feedback, and take your input very seriously.
To see all available qualifiers, see our documentation.
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
朋友组织了一场xss live,安全一直是开发中不可忽视的一部分。而xss作为web开发中最常见的攻击手段,防范是必然的。基于web浏览器tricks,JavaScript的发展,npm等开源项目漏洞,web注入等会让开发者越来越防不胜防。
xss
安全
本次总结基于耗子的xss-demo,以及自己对xss的理解和知识的吸收。感兴趣的同学可以先去试试,这里就不在累赘提供答案了。 欢迎探讨更多Web安全相关话题。
Web安全
如在富文本, input, textarea, 可编辑div等,对应xss-demo 0x01, 0x02
富文本
input
textarea
div
style标签
<style> </style ><script>alert(1)</script> </style>
--!><script>alert(1)</script>
input的type,在type之前可以重写为image,通过onerror注入
onerror
<script>alert`1`</script>
base64
scheme:[//[user:password@]host[:port]][/]path[?query][#fragment]
查看 0x07
这样总结对我更好的理解,也明白为什么最后是通过替换不同的字符来做处理。 Web安全路很长,需要持续关注。
The text was updated successfully, but these errors were encountered:
No branches or pull requests
朋友组织了一场
xsslive,安全一直是开发中不可忽视的一部分。而xss作为web开发中最常见的攻击手段,防范是必然的。基于web浏览器tricks,JavaScript的发展,npm等开源项目漏洞,web注入等会让开发者越来越防不胜防。本次总结基于耗子的xss-demo,以及自己对xss的理解和知识的吸收。感兴趣的同学可以先去试试,这里就不在累赘提供答案了。 欢迎探讨更多
Web安全相关话题。插入执行标签
标签等提前闭合(截断)
如在
富文本,input,textarea, 可编辑div等,对应xss-demo 0x01, 0x02style标签
input的type,在type之前可以重写为image,通过
onerror注入ES6 tag标签
转义字符仍可执行
base64的html代码片段svg不闭合也执行
查看 0x07
正则替换不靠谱
防护
这样总结对我更好的理解,也明白为什么最后是通过替换不同的字符来做处理。
Web安全路很长,需要持续关注。The text was updated successfully, but these errors were encountered: