摘要:
XSS-htmlspecialchars htmlspecialchars()函数把预定义的字符转换为html实体 预定义的字符: 预防: 可用的引号类型:(一般使用这个函数时候要指定类型) &转换为& ENT_COMPAT 默认,仅编码双引号 “转换为" ENT_QUOTES 编码双 阅读全文
摘要:
在这先说一下xss绕过的两种方式,之后在pikachu平台上进行操作 Xss绕过-过滤-转换 前端绕过,我们直接可以抓包重放,或者修改html前端代码 大小写,示例:<sCriPt>ALerT(222)</ScrIpt> 拼凑,示例:<scr<script>ipt>alert(222)</scri< 阅读全文
摘要:
Xss盲打(攻击场景) 前端数据交互的地方,输入信息,输入后的结果不在前端显示,也就是 只有后台能看到输入的内容,从前端无法判断是否存在XSS,这种情况下,我们直接往里面插入XSS代码,然后等待 输入信息后: 输入 <script>alert(‘gxy’)</script> 222 登录后台查看 这 阅读全文