xss注入方法及验证方法

注：本文描述的是一般情况的xss注入方法及验证方法，并无覆盖所有xss情况，

师宗网站制作公司哪家好，找创新互联建站！从网页设计、网站建设、微信开发、APP开发、响应式网站建设等网站项目制作，到程序开发，运营维护。创新互联建站成立于2013年到现在10年的时间，我们拥有了丰富的建站经验和运维经验，来保证我们的工作的顺利进行。专注于网站建设就选创新互联建站。

 

步骤1：在任一输入框中输入以下注入字符

>"'><script>alert(XSS)</script>

>"'><img src="javascript:alert(123456)">

1234<%00script>alert("123456")</script>

&{alert(123456)}

>%22%27><img%20src%3d%22javascript:alert(123456)%22>

[rm]"><img src=1 onerror=alert(document.cookie)>[/rm]

\u003cimg src=1 onerror=alert(/xss/)\u003e

\x20\x27onclick\x3dalert\x281\x29\x3b\x2f\x2f\x27

步骤2：提交成功后，在读取参数的页面查看页面源码，搜索刚输入注入

即：在【A页面】提交的，要在能查看A页面提交的内容的【B页面】搜索源码才有效

如：在【A页面】输入框输入  >"'><script>alert(123456)</script>，提交成功后，在【B页面】搜索“123456”

步骤3：查看页面源码

 

情况1：看到页面源码为

有xss问题

解析：页面并没将字符“<” 转义，浏览器会执行此代码，此类属于xss漏洞 。

情况2：看到源码为 

无xss问题

 

 

 

解析：页面已将输入的字符“<”转义成“"；”，此类没有xss漏洞。

 

情况3：页面错位

 

有xss问题

 

 

 

解析：页面并没将字符“<” 转义，浏览器会执行此代码，此类属于xss漏洞 。

 

情况4：页面有弹出框提示

 

有xss问题

 

 

 

 

 

 

 

解析：页面并没将字符“<” 转义，浏览器会执行此代码，此类属于xss漏洞 。

 

 

可以认为，所有没有转义字符“<”的都属于存在xss注入漏洞。

 

ps.页面源码，并非审阅元素，两者是有区别的

 

网页标题：xss注入方法及验证方法
标题路径：https://www.cdcxhl.com/article0/ghccio.html

成都网站建设公司_创新互联，为您提供网站制作、网站改版、网站设计、虚拟主机、网页设计公司、品牌网站制作

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联