在转义后,有没有办法可以构造出XSS攻击?
在转义后,有没有办法可以构造出XSS攻击?
你觉得呢?
no
因为转义后,不管是转义html还是属性,都不能在浏览器端作为html标签来渲染,也不能闭合属性。
从而是没有办法继续构造转义后的XSS攻击。
所以,只能想办法通过绕过转义,来实现XSS攻击了。
但是,只要进行转义操作后,一般是比较难开展XSS攻击。
我用XSStrike测试过,也基本找不到XSS漏洞。
在用XSStrike扫描过程中发现,针对一些网站会给一些payload建议,但最终还是不能100%确定存在反射型的漏洞。
比如下图的payload:
详情: https://mp.weixin.qq.com/s?__biz=Mzg5Mjc2NDYwMg==&mid=2247484385&idx=1&sn=bee3d6122d73f9e56e8a50331389d77d&chksm=c0386b34f74fe2221862a01ede057bb9b118e9e1c58822e44dfa879dffc78b9fa26a04043309&token=1902673835&lang=zh_CN#rd
有问题可群咨询:
https://public-1253796280.cos.ap-nanjing.myqcloud.com/%E5%89%8D%E7%AB%AF%E6%8A%80%E6%9C%AF%E4%BA%A4%E6%B5%81%E7%BE%A4.png
