首页 » NetworkSec » Penetration » 正文

一次xss fuzz绕过防护

 

经测试双写,大小写,url编码,超长字符串等都无法绕过

fuzz html tag

大部分标签都可用,就选p标签吧

系统过滤了一些on事件,再fuzz html onevent

还是有大部分可用

尝试<p%20onmouseout=alert`x`>xss</p>

经测试,系统过滤了一些关键字如下

href

src

alert

confirm

prompt

javascript

script

直接unicode编码alert

构造poc

“><p onmouseout=\u0061\u006c\u0065\u0072\u0074`x`>xss</p>

成功弹窗

   

 

 

Comment

please input captcha *