反射型XSS笔记

时间：2019-06-28 17:04:13 收藏：0 阅读：82

1、标签内属性（事件）

　　用于双引号没被过滤，而<>被过滤的情况

# 当鼠标悬浮于该标签时，触发此事件
onmouseover=
# 当鼠标聚焦在标签内，触发此事件
onfocus=
# 当鼠标单击在标签时，触发此事件
onclick=

2、隐藏标签

　　当隐藏标签输入标签内属性，无法被触发，需要适应标签外事件，例如：

<script>alert(document.domain)</script>

3、常规思想总结

1、测试屏蔽了哪些特殊字符，常用的特殊字符
    ",<,>,(,)
2、选择没被过滤的方式，注入XSS

原文：https://www.cnblogs.com/smartmsl/p/11103535.html