跨站点脚本 (xss) 相关问题 [已关闭]

Cross site scripting (xss) related issue [closed]

提问人:Ayyan 提问时间:11/13/2023 最后编辑:Ayyan 更新时间:11/14/2023 访问量:40

问:

闭。此问题需要调试详细信息。它目前不接受答案。

编辑问题以包括所需的行为、特定问题或错误以及重现问题所需的最短代码。这将帮助其他人回答这个问题。

6天前关闭。

改进此问题

在寻找 XSS 时,假设我们输入有效负载 <img/src/onload=“prompt(1)”>并且由于没有清理而收到提示。那又怎样

如果存在清理或 WAF(Web 应用程序防火墙),并且我们输入相同的有效负载,但 HTML 实体编码、URL 编码或 Unicode 对其进行编码,该怎么办?我的意思是,任何编码。

如果我仍然收到弹出窗口,这怎么可能?如何解码我的有效负载以创建弹出窗口?

就像不同的编码用于将输入视为纯文本一样,但为什么 html 编码(任何编码)有效负载会弹出谁解码它做服务器或 webapplication

谁能解释一下?

JavaScript XSS Web 测试 渗透测试

评论

2赞 Rory McCrossan 11/13/2023
If I still get a popup, how is this possible?在这种情况下,我认为用于防止编码的清理不是很可靠,需要改进。如果不了解具体的实现,就无法凭经验回答这个问题。
1赞 CBroe 11/13/2023
安全不属于新手,你问这个问题的方式,强烈表明你缺乏这方面的经验。“我的意思是,任何编码”——你似乎对什么编码和/或转义适用于什么上下文一无所知。

答: 暂无答案

上一个:从浏览器控制台获取 Cookie

下一个:Angular 中的 XSRF/CSRF 保护 - xsrfTokenExtractor.getToken();返回 null