验证一个XSS漏洞,出现弹窗了,但是换个语句就没弹窗了,这是什么原因?

请先 登录 后评论

9 个回答

空城 - 安全小菜鸡

最有可能的是,目标侧使用的黑名单过滤,就看你的paload有没有在他的黑名单里!

请先 登录 后评论
sanshiOK

把语句贴出来啊,F12看下控制台,console里面是不是 有报错,截图贴出来最好

请先 登录 后评论
ZuoCi

(请下次附上图片或者示例)可能有以下原因:

1、语句拼写的有问题,建议先在本地测试后再进行验证。

2、未进行闭合处理,可能换的语句和网页中的文本产生交互,后面的payload变成文本。

3、屏蔽问题,例如网站只转义了尖括号,其他的未进行转义。

4、换成弹出cookie或者插入图片。

5、本机浏览器或者安全软件阻止弹窗,请确认payload是否是常见的利用方式。

请先 登录 后评论
Kinding

有没有一种可能是你的语法不支持执行。

请先 登录 后评论
王陌少

首先你提问这个问题的时候尽量把你使用的payload放出来。有些程序员在开发的时候会自己写一些规则拦截。比如拦截<script> 就可以用<img>弹框

请先 登录 后评论
呱呱 - 你猜

这个看情况的,比如说你用一个标签不拦截用其他标签就拦截这种情况。你可以去看看前端代码啥的。看看是不是什么东西拦截了,或者编码一下看看。这东西还是很玄妙的,之前遇到过开始弹窗的后来洗个澡出来就不弹窗的。挺神奇的哈哈哈。主要看看你语句有没有被拦截啥的,结合前端的代码判断一下。这个比较看你的代码理解能力,还有你的个人经验了。总之先去看看是不是这个语句被拦截了。

请先 登录 后评论
Bains

可能是用了黑名单过滤,恰好没有过滤那个标签

请先 登录 后评论
myfeng

对敏感的 JS 脚本做了过滤或转义,区分大小写,对字符做了替换等等。。。

请先 登录 后评论
jscode
我遇到过,使用script标签就不好使,img就行,估计是刚好过滤了这个标签,或者没闭合,都有可能
请先 登录 后评论
  • 7 关注
  • 0 收藏,8369 浏览
  • AK公子 提出于 2023-02-20 15:38

相似问题