遇到 XSS 奇葩问题, XSS 大佬们告知一下,学习一下。不懂的大佬也来捧个人场,了解学习一下。

2018-01-06 18:19:19 +08:00
 xssp

不能上传图片,所以只能以这种方式了,不懂的大佬多多指点。本人比较喜欢挖 XSS,因为比较好玩,在就是厂家给的分和奖励也不是很低。

问题一:

希望大佬给点绕过方式,谢谢大佬们了。

限制字数 64 位。

报错: 大概能看出 csp

Refused to load the script 'xxx.xxx' because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-inline' 'unsafe-eval' *.sogo.com *.sogou.com *.qq.com *.idqqimg.com *.gtimg.cn *.gtimg.com *.soso.com soso.qstatic.com *.sohu.com *.sogoucdn.com *.go2map.com *.google-analytics.com *.itc.cn api.douban.com".

除了调用 qq 域名下的 jons,还有其他办法绕过吗?

问题二:

遇到另外一处奇葩 XSS,

使用代码

先测试 < i m g /s r c = >

没有任何过滤接下来测试。以下代码

< i m g src="x"/**/onerror="eval(String.fromCharCode(97,108,101,114,116,40,39,112,111,114,117,105,110,39,41))"> </ i m g>

过滤情况如下

< img src="x" **="" ="eval(string.fromcharcode(97,108,101,114,116,40,39,112,111,114,117,105,110,39,41))"="">

根据反复测试测试过滤了

,onerror,/,alert,script

希望大佬给一段完整能绕过执行 JS 代码,小弟学习学习。让涨一下见识。

2898 次点击
所在节点    信息安全
2 条回复
xssp
2018-01-06 19:32:40 +08:00
吃完饭回来,还没大佬。尴尬了
whatsmyip
2018-01-06 22:06:27 +08:00
v2 上开发比较多吧

去 freebuf / 52pojie 试试?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/420644

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX