Portswigger-web-security-academy:stored_xss
2021-02-14 20:22
阅读:573
解题过程
这是上上道题的升级版,和"会被HTML编码,‘和\会被addslash
关键代码
asd
可以看到website直接被嵌入到了href和onclick,因为后端检测了url格式,所以href无法进行xss
看onclick,考虑如何闭合引号,注意到这里是html+js环境,所以可以使用HTML实体编码/unicode编码,但是\会被addslash,所以只能用HTML实体编码
构造payload:http://xss'-alert()-'
这里涉及到一个js的知识点,eval(‘xss‘-alert()会弹窗,即js语境中,字符串与语句进行运算,会执行语句
上一篇:10条简化工作的HTML5代码段
下一篇:nodejs安装及环境变量的配置
文章来自:搜素材网的编程语言模块,转载请注明文章出处。
文章标题:Portswigger-web-security-academy:stored_xss
文章链接:http://soscw.com/index.php/essay/55339.html
文章标题:Portswigger-web-security-academy:stored_xss
文章链接:http://soscw.com/index.php/essay/55339.html
评论
亲,登录后才可以留言!