转义后是否能构造出XSS攻击?

头像
simonbaker
     广东
    阅读 1 分钟

    在转义后,有没有办法可以构造出XSS攻击?

    在转义后,有没有办法可以构造出XSS攻击?

    你觉得呢?

    no

    因为转义后,不管是转义html还是属性,都不能在浏览器端作为html标签来渲染,也不能闭合属性。

    从而是没有办法继续构造转义后的XSS攻击。

    所以,只能想办法通过绕过转义,来实现XSS攻击了。


    但是,只要进行转义操作后,一般是比较难开展XSS攻击。

    我用XSStrike测试过,也基本找不到XSS漏洞。


    在用XSStrike扫描过程中发现,针对一些网站会给一些payload建议,但最终还是不能100%确定存在反射型的漏洞。
    比如下图的payload:
    image.png

    详情: https://mp.weixin.qq.com/s?__...

    有问题可群咨询:
    https://public-1253796280.cos...

    xss
    本文系转载,阅读原文
    https://mp.weixin.qq.com/s?__biz=Mzg5Mjc2NDYwMg==&mid=2247484385&idx=1&sn=bee3d6122d73f9e56e8a50331389d77d&chksm=c0386b34f74fe2221862a01ede057bb9b118e9e1c58822e44dfa879dffc78b9fa26a04043309&token=1902673835&lang=zh_CN#rd
    simonbaker
    256 声望2 粉丝

    wx:毛毛虫的小小蜡笔

    « 上一篇
    xss反射型深入分析
    下一篇 »
    这个不是XSS反射型漏洞吗?

    引用和评论

    推荐阅读
    头像
    Linux上安装DVWA,小白也能上手

    simonbaker阅读 578

    头像
    服装消费“变天”,行业风向几何?

    服饰商品运营管理阅读 510

    头像
    从单品到全盘:解锁服装商品企划的全局密码

    服饰商品运营管理阅读 374

    头像
    浏览器如何确定最终的CSS属性值?解析计算优先级与规则

    已注销阅读 70

    0 条评论
    得票最新