【发布时间】:2018-02-24 08:20:28
【问题描述】:
我正在学习网站渗透测试并试图找到 XSS 漏洞。我使用 Firefox 浏览器。
这是网站的搜索栏代码:
我的有效载荷是:
a" onmouseover="ALeRT(X)" size="50
这使得代码: .
但是,Payload 没有按应有的方式执行。可能的原因是什么?
【问题讨论】:
-
嗨,欢迎来到堆栈溢出。请参阅How to Ask 链接以获取有关如何提出问题并相应更新您的问题的更多详细信息。
-
您是否在控制台中看到错误消息?函数
ALeRT和变量X是否在任何地方定义?预期的行为是什么,会发生什么? -
@t.niese 1. 不,控制台中没有相关错误。 2.'alert()'是JS的内置函数。我改变了情况,只是'alert()'被列入黑名单并且X在这里不是变量。 3.我期待一个带有消息 X 的消息框,但没有发生任何这样的事情。一个观察:'onmouseover()' 和 size 没有被理解为输入的属性(看到所有属性都是粉红色的,但这些不是)。
-
是的
alert()是一个内置函数,但ALeRT不是,JS 区分大小写。value的值很可能是a" onmouseover="ALeRT(X)" size="50而不仅仅是a,因此您的代码注入尝试失败。 -
@t.niese 我也认为它将整个有效负载作为价值。有什么想法可以让有效载荷成功吗?
标签: javascript xss