XSS-Game level 6

本文阅读 1 分钟
首页 安全分享,WEB安全 正文

第六关未过滤大小写 , 使用大小写绕过

img

 

源码中,过滤了 <script> , on 事件 和一些属性 , 而后将参数拼接到 value 值

img

img

使用 htmlspecialchars() 过滤标签 , 但未重新赋值给 $str , 所以不会造成影响

img

此关卡并未过滤大小写 , 我们使用大小写进行绕过 payload

"> <sCript>alert(6)</script>

左侧双引号用来闭合 value属性的左双引号 , 左侧尖括号 '>' 用来闭合 input标签

<input name=keyword  value="'.$str6.'">    // 拼接前
<input name=keyword  value=""> <sCript>alert(6)</script>"> //拼接后

过关

img

本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/wangyuxiang946/article/details/118560058
-- 展开阅读全文 --
Redis底层数据结构--跳跃表
« 上一篇 04-28
BUUCTF Web [强网杯 2019]随便注
下一篇 » 06-24

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复