XSS之过滤
第一步:打开目标网站
说是有过滤,随便测试一下:
im a lil horny.
输入测试语句:,发现被过滤了
用图片绕过
xss之htmlspecialchars
打开目标网站,输入简单测试
靶场中提示htmlspecialchars()
htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。
预定义的字符是:
& (和号) 成为 &
" (双引号) 成为 "
’ (单引号) 成为 ’
< (小于) 成为 <
(大于) 成为 >
绕过语句:’ οnclick=‘alert(document.cookie)’
单击之后,XSS触发弹窗Cookie信息