簡體 English 中英

如何打破 XSS 的雙引號？

[英]How can I break out of double quotes for XSS?

原文 2021-08-16 21:05:35 3 1 javascript/ xss/ penetration-testing

以下是我用於測試的一段代碼。 我試圖逃脫並向其添加基於 DOM 的 XSS 攻擊，但無法獲得有效負載警報 (1) 來激活。 我嘗試了 escaping 的多種變體，帶有雙引號，請參見下文。 有沒有辦法打破給定 function 中的雙引號？

&quot&ltimg src='x' onerror='alert(1)'&gt&quot(
\&lt/p&gt&ltimg src='x' onerror='alert(1)'&gt&quot\(\
    

<script>

        var h = document.location.hash.substring(1);
        if (h && h != "") {
            var re = new RegExp(".+@.+");
            if (h.match(re)) {
                document.getElementById("email").innerHTML += " ("+h+")";
            }
        }

        </script>

謝謝！

1 個解決方案

@gabor-lengyel 在評論中解釋說代碼基本上按預期工作：如果 XSS 行被編碼，那么它不會暴露應用程序中的漏洞，因此首先沒有雙引號。

如何突破這個Promise for loop？

[英]How can I break out of this Promise for loop?

如何在jQuery中突破each（）？

[英]How can I break out of an each() in jQuery?

如何從javascript輸入的文本中轉義雙引號？

[英]How can I escape double quotes from a text input in javascript?

如何在 javascript 中使用雙引號獲取返回值

[英]how can i get returned value with double quotes in javascript

我在單引號的屬性中得到雙引號，我該如何阻止它？

[英]I'm getting double quotes inside the attributes of single quotes, How can I stop it?

如何在不加雙引號的情況下分割逗號上的文本，同時保留引號？

[英]How can I split text on commas not within double quotes, while keeping the quotes?

當我出局時如何打破循環？

[英]How can I break a loop when I'm out of it?

如何使用JavaScript創建此API並分析方法

[英]How can I create this API with JavaScript and break out the methods

如何重組.forEach，這樣我才能突圍而出

[英]How to restructure .forEach so I can break out of it

我如何使用此dom xss？

[英]How can I use this dom xss?

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 如何突破這個Promise for loop？如何在jQuery中突破each（）？如何從javascript輸入的文本中轉義雙引號？如何在 javascript 中使用雙引號獲取返回值我在單引號的屬性中得到雙引號，我該如何阻止它？如何在不加雙引號的情況下分割逗號上的文本，同時保留引號？當我出局時如何打破循環？如何使用JavaScript創建此API並分析方法如何重組.forEach，這樣我才能突圍而出我如何使用此dom xss？

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM