目录导航
原理
使用unicode字符绕过waf对关键字的检测。
跨站脚本(Cross-Site Scripting,简称 XSS)是一种常见的安全漏洞,它允许攻击者向Web页面中注入恶意脚本,然后在受害者浏览器中执行该脚本。这使得攻击者能够窃取用户的会话令牌、操纵Web页面、修改页内容、重定向用户、劫持用户输入等。
XSS漏洞的原理是攻击者通过输入某些特殊字符或代码片段,将恶意脚本注入到Web页面中,例如在评论框中输入,当页面被渲染时,这段脚本就会被执行,弹出“Hello World!”的提示框。
XSS漏洞可以分为三种类型:
1、反射型 XSS:攻击者将恶意脚本注入到URL中,然后将URL传递给受害者,当受害者点击该URL时,脚本将被执行。这种类型的XSS漏洞是最常见的。
2、存储型 XSS:攻击者将恶意脚本注入到Web应用程序的数据库或其他存储设备中,然后当用户访问被攻击的页面时,恶意脚本将被加载和执行。
3、DOM 型 XSS:攻击者利用客户端脚本,将恶意脚本注入到Web页面的DOM(文档对象模型)中,然后在受害者浏览器中执行该脚本。
svg xss payload
<?xml version="1.0" encoding="ISO-2022-JP"?>
<sv(Bg xmlns="http://www.w3.org/2000/svg" o(Bnlo(Bad="ale(Brt('ddosi.org')"/>截图
转载请注明出处及链接