首页 » NetworkSec » Penetration » 正文

一次xss fuzz绕过防护

2019/11/23 | Penetration | LSA | 暂无评论 | 1630 views

经测试双写，大小写，url编码，超长字符串等都无法绕过

fuzz html tag

大部分标签都可用，就选p标签吧

系统过滤了一些on事件，再fuzz html onevent

还是有大部分可用

尝试<p%20onmouseout=alert`x`>xss</p>

经测试，系统过滤了一些关键字如下

href

src

alert

confirm

prompt

javascript

script

直接unicode编码alert

构造poc

“><p onmouseout=\u0061\u006c\u0065\u0072\u0074`x`>xss</p>

成功弹窗

Comment 取消

Link

m1kh's blog