不允许<和>时文本区域中的XSS?

信息安全 xss 反射-xss
2021-08-24 07:03:18

我正在尝试对XXXX此处标记的注入点执行 XSS:

<div>
  <textarea name="billing[something]" id="billing-something" rows="1" 
    type="phone" title="something" placeholder="something" cols="80">
XXXX
  </textarea>      
</div>

我可以反映任何输入,除了<or >之后的所有字符都将被删除。我可以执行任何类型的 XSS 吗?

例子:

  • 如果我介绍XXXX>XXXX我将获得XXXX
  • XXXX[[>]>/// 我将获得 XXXX[[
  • XXXX[[<]</// 我将获得 XXXX[[

在这个应用程序的其他地方,我能够使用有效载荷来利用输入,例如 nsehe"onfocus="alert(1)"autofocus="e2c00因为<input value="..回退。

1个回答

实际上还有很多其他方法可以使用 XSS,例如,您可以将字符转换为十六进制或 ASCII 等价物,示例如下:

%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%22%48%69%22%29%3b%3c%2f%73%63%72%69%70%74%3e

这相当于一个警告框,说你好

<script>alert("Hi");</script>

编辑:这个博客对于绕过过滤器非常有用:https ://alihassanpenetrationtester.blogspot.ie/2013/01/bypassing-xss-filters-advanced-xss.html

其它你可能感兴趣的问题
上一篇从 PDF 文件中提取恶意代码 下一篇在 SEF URL 别名中使用 sqlmap 和测试参数