我正在尝试对易受攻击的网站进行概念验证,但是IE11 xss过滤器阻止了我的JavaScript运行。
有没有绕过它? 我正在对此进行研究,但似乎找不到有效的负载。
谢谢!
答案 0 :(得分:0)
在this thread中,它表示 IE的XSS过滤器无法防范DOM Based XSS。因此,为了跨域执行javascript有效负载,您可以简单地运行eval()请求变量或使用document.write() 。有an article关于基于DOM的XSS的详细信息,您可以参考它。
此外,Double Encoding还可以绕过IE的XSS过滤器。您可以查看this blog了解详细步骤。