当前位置: 首页 > news >正文

渗透靶场:事件和属性被阻止的反射xss

news 2025/6/26 12:17:07

本关很多标签被拦截了,需要使用 burp 模糊测试哪个标签可以用

<a><animate>可以使用,<animate><svg>标签中用来给动画设定属性的,看看<svg>可不可用

利用<svg><animate><a>来构造

这里没有显示 click me,因为在 svg 标签中需要用<text>标签来显示

<svg><a><animate attributeName=href values=javascript:alert(1) /><text x=20 y=20>click me</text></a>

http://www.lryc.cn/news/575126.html

相关文章:

  • Vue+ECharts后台仪表盘加载地图功能
  • Android14音频子系统-ASoC-ALSA之DAPM电源管理子系统
  • 个人技术文档库构建实践:基于Cursor和GitHub的知识管理系统(含cursor rules)
  • Github Copilot协助解决cucumber插件不支持async/await
  • 【Orange Pi Zero 3】-usb摄像头项目
  • 服务器性能优化通用方案
  • 一个项目中调用两个不同后台,前端如何优雅实现无感刷新Token调用接口
  • webpack5 css-loader:从基础到原理
  • css实现a标签前面加小图标
  • 【GStreamer】减小延时的参数设置、从RTP中获取时间戳
  • 深入探索WordPress Multisite:构建与管理多站点网络
  • 【Lua 基础学习】
  • C++(智能指针)
  • LeetCode 3298.统计重新排列后包含另一个字符串的子字符串数目2
  • ivx创建一个测试小案例
  • Vue3插槽
  • 基于springboot+vue的智慧农业专家远程指导系统
  • 批量DWG转PDF工具
  • ES和 Kafka 集群搭建过程中的典型问题、配置规范及最佳实践
  • RK平台HDMI-IN/camera调试:预留CMA内存
  • Mac安装Apache CXF的时候报错:/Library/Internet: No such file or directory
  • 打造属于你的AI智能体,从数据开始 —— 使用 Bright Data MCP+Trae快速构建垂直智能体
  • 操作系统之内存管理(王道)
  • Azure 自动化:所需状态配置 (DSC)
  • UniApp 开发第一个项目
  • Python虚拟环境管理:conda、venv、pipenv三国杀
  • JSON框架转化isSuccess()为sucess字段
  • Fisco Bcos学习 - 开发第一个区块链应用
  • PAC 学习框架:机器学习的可靠性工程
  • 通俗易懂解读BPE分词算法实现