XSS Works,但只有1个字

时间:2017-04-28 23:35:29

标签: javascript php sql xss

也许这是一个奇怪的问题,但我会尽力解释它。目前我正在测试一个网站,用于xss(跨站点脚本)。 首先我尝试了<script>alert(1)</script>,结果是[removed]alert(1)[removed],还有<scr<script>和那些事情,我尝试了更多。

现在我终于找到了一个工作: <input onfocus=alert("test") autofocus> 是的,它真的吐了出去&#39;测试&#39;但是当我输入alert(document.cookie)时,它已经不再吐出任何东西了 <input onfocus=alert("test lol") autofocus> 不再吐出任何东西,但我现在怎样才能获得cookie?为什么它吐出测试,或ahihawiejawije而不是ahjiahwe jijaja或测试,只有一个字?也整数工作。

此外,我尝试使用的所有html代码都可以像<div><iframes>一样工作,那么如何才能在页面上显示document.cookie spitted

这是我输入XSS代码的地方: https://gyazo.com/d260e065a305941e92a414a321501134

当我保存它时,我可以在此页面上查看: https://gyazo.com/723c1bff1d6fb7f3341a5b19cadcd264

但是,由于文件没有工作,它只会显示一个输入栏,但当我用&#34; lol&#34;替换document.cookie时。它给了我这个: &#34;洛尔&#34; (不能超过2个链接bcz声誉)所以它正在使用lol。

那么,像AAAAAAAAA这样的单词或一个大词是如何工作的,但不仅仅是像aaa aaa或document.cookie这样的2个单词怎么可能?

1 个答案:

答案 0 :(得分:1)

  

我只是好奇为什么打印helloworld确实有效并且不打招呼世界。

由于混乱的HTML,空间启动了另一个属性。

查看Chrome的检查器,语法高亮显示了发生了什么:

<input onfocus=alert("test lol") autofocus>

变为:

enter image description here

Chrome尝试修复HTML,lol")成为另一个属性。 (我不知道autofocus在哪里......)与网站的XSS保护(或缺乏保护)无关,只是浏览器如何解释错误的HTML。

相关问题
最新问题