Question

也许这是一个奇怪的问题，但我会尽力解释它。目前我正在测试一个网站，用于xss（跨站点脚本）。首先我尝试了<script>alert(1)</script>，结果是[removed]alert(1)[removed]，还有<scr<script>和那些事情，我尝试了更多。

现在我终于找到了一个工作： <input onfocus=alert("test") autofocus> 是的，它真的吐了出去＆＃39;测试＆＃39;但是当我输入alert(document.cookie)时，它已经不再吐出任何东西了 <input onfocus=alert("test lol") autofocus> 不再吐出任何东西，但我现在怎样才能获得cookie？为什么它吐出测试，或ahihawiejawije而不是ahjiahwe jijaja或测试，只有一个字？也整数工作。

此外，我尝试使用的所有html代码都可以像<div>或<iframes>一样工作，那么如何才能在页面上显示document.cookie spitted？

这是我输入XSS代码的地方： https://gyazo.com/d260e065a305941e92a414a321501134

当我保存它时，我可以在此页面上查看： https://gyazo.com/723c1bff1d6fb7f3341a5b19cadcd264

但是，由于文件没有工作，它只会显示一个输入栏，但当我用＆＃34; lol＆＃34;替换document.cookie时。它给了我这个：＆＃34;洛尔＆＃34; （不能超过2个链接bcz声誉）所以它正在使用lol。

那么，像AAAAAAAAA这样的单词或一个大词是如何工作的，但不仅仅是像aaa aaa或document.cookie这样的2个单词怎么可能？

Answer 1

我只是好奇为什么打印helloworld确实有效并且不打招呼世界。

由于混乱的HTML，空间启动了另一个属性。

查看Chrome的检查器，语法高亮显示了发生了什么：

<input onfocus=alert("test lol") autofocus>

变为：

Chrome尝试修复HTML，lol")成为另一个属性。（我不知道autofocus在哪里......）与网站的XSS保护（或缺乏保护）无关，只是浏览器如何解释错误的HTML。

XSS Works，但只有1个字

1 个答案: