XSS-Game level 9

本文阅读 1 分钟
首页 安全分享,WEB安全 正文

第九关过滤的很严 , 使用编码绕过

img

 先看源码 , 过滤了大小写 , on 事件 , script , 以及一些属性 ,把参数拼接到 value值的时候 还编译了

img

img

 htmlspecialchars() 把预定义字符 ( & , " , ' , < , >) 转换为HTML实体 , 也就是不起作用

并且参数中还需要包含 'http://' 字符串

img

标签和事件属性都不能用 , 只能用编码了 , s 的HTML编码是 &#115; ,  编码后的内容需要包含 'http://' , 再用//注释掉 'http://' 使其不起作用 , payload

java&#115;cript:alert(9) //http://

拼接后的代码如下

img

过关

img

 

本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/wangyuxiang946/article/details/118578723
-- 展开阅读全文 --
BUUCTF Web [极客大挑战 2019]Knife
« 上一篇 06-24
安全面试之XSS(跨站脚本攻击)
下一篇 » 07-24

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复