不能上传图片,所以只能以这种方式了,不懂的大佬多多指点。本人比较喜欢挖 XSS,因为比较好玩,在就是厂家给的分和奖励也不是很低。
问题一:
希望大佬给点绕过方式,谢谢大佬们了。
限制字数 64 位。
报错: 大概能看出 csp
Refused to load the script 'xxx.xxx' because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-inline' 'unsafe-eval' *.sogo.com *.sogou.com *.qq.com *.idqqimg.com *.gtimg.cn *.gtimg.com *.soso.com soso.qstatic.com *.sohu.com *.sogoucdn.com *.go2map.com *.google-analytics.com *.itc.cn api.douban.com".
除了调用 qq 域名下的 jons,还有其他办法绕过吗?
问题二:
遇到另外一处奇葩 XSS,
使用代码
先测试 < i m g /s r c = >
没有任何过滤接下来测试。以下代码
< i m g src="x"/**/onerror="eval(String.fromCharCode(97,108,101,114,116,40,39,112,111,114,117,105,110,39,41))"> </ i m g>
过滤情况如下
< img src="x" **="" ="eval(string.fromcharcode(97,108,101,114,116,40,39,112,111,114,117,105,110,39,41))"="">
根据反复测试测试过滤了
,onerror,/,alert,script
希望大佬给一段完整能绕过执行 JS 代码,小弟学习学习。让涨一下见识。
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.