当前位置:   article > 正文

XSS绕过waf

xss绕过waf

1 .xss-labs-master靶机绕过:
level1
首先在地址栏里输入name=aaa,并且F12开启检查,发现将aaa输入到了标签里,且没有限制,
在这里插入图片描述
所以,我们直接输入 alert(1)来绕过

level2
首先我们先用来测试,发现输出在了value引号里
在这里插入图片描述
所以需要我们闭合标签和引号
在这里插入图片描述
在这里插入图片描述
level3
还是通过script先测试,找到输出位置
在这里插入图片描述
采用标签闭合发现也不行,通过查看源码发现使用了htmlspeclalchars()函数,通过查询文档发现该函数会将<转义为实体编码,该函数的第二个参数默认情况下仅编码双引号,所以我们用单引号以及点击事件来绕过,
在这里插入图片描述
在这里插入图片描述
level4
还是用script打头阵来找到输出的位置,且发现还过滤了我们的尖括号<>,
在这里插入图片描述
所以我们使用点击事件来绕过

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/木道寻08/article/detail/884750
推荐阅读
相关标签
  

闽ICP备14008679号