为什么这种 XSS 攻击不起作用?
Why doesn't this XSS attack work?
我想在站点中注入一些 XSS 代码。源码是这样的:
<span class="c_red">"aaa"</span>
aaa 字样出现在屏幕上。
然后我在搜索框中注入了一些shellcode。我输入的代码是这样的:
</span><img src=* onerror=alert(1) /><span>"
所以,结果码是
<span class="c_red">"</span><img src=* onerror=alert(1) /><span>""</span>
为什么我在屏幕上看不到警告框?
您没有提供足够的问题信息,但我认为可能是由于:
- 您尝试注入的网站使用 Str_Replace 或其他方法替换您代码中的某些字符,使其无法使用。
- 您将图像放置在跨度之外,可能会迫使服务器操作员忽略您的代码。
尝试检查网站源代码(CTRL+U),看看你注入的代码是否在源代码中,如果没有用红色高亮显示(说明部分输入不正确,将被一些浏览器忽略)
我想在站点中注入一些 XSS 代码。源码是这样的:
<span class="c_red">"aaa"</span>
aaa 字样出现在屏幕上。
然后我在搜索框中注入了一些shellcode。我输入的代码是这样的:
</span><img src=* onerror=alert(1) /><span>"
所以,结果码是
<span class="c_red">"</span><img src=* onerror=alert(1) /><span>""</span>
为什么我在屏幕上看不到警告框?
您没有提供足够的问题信息,但我认为可能是由于:
- 您尝试注入的网站使用 Str_Replace 或其他方法替换您代码中的某些字符,使其无法使用。
- 您将图像放置在跨度之外,可能会迫使服务器操作员忽略您的代码。
尝试检查网站源代码(CTRL+U),看看你注入的代码是否在源代码中,如果没有用红色高亮显示(说明部分输入不正确,将被一些浏览器忽略)