衡水做网站企业,dede 网站名称,中国建设银行公积金网站,wordpress主题基础总体原则#xff1a; 输入做过滤#xff0c;输出做转义
过滤#xff1a;根据业务需要进行过滤#xff0c;如#xff1a;输入点要求输入手机号#xff0c;则只允许输入手机号格式的数字#xff1b;
转义#xff1a;所有输出到前端的数据#xff0c;都根据输出点进行转…
总体原则 输入做过滤输出做转义
过滤根据业务需要进行过滤如输入点要求输入手机号则只允许输入手机号格式的数字
转义所有输出到前端的数据都根据输出点进行转义比如输出到html中进行html实体转义输入到 JS 里面的进行 JS 转义。 href输出
从页面代码上看出这是个href 标签并且做了href特殊字符转换 构造payload ,
javascript:alert(1) 要想防止href 标签的xss 一、可以做输入限定只允许http 、https 的头的输入二、结合输入限定后再做特殊字符转义。 JS 输出
查看后端代码 核心点是$ms tmac
所以要构造payload 先闭合引号 用 X 闭合 script 用 /script 单独一组script包着alert再来一个script对应结尾的 /script 所以整个报文就是
X/scriptscriptalert(1)/scriptscript
得到攻击结果
